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LỜI NÓI ĐÀU 
Bản Quy chế chứng thực này được viết dựa theo REC 3647 về “Khung quy chế chứng thực và 


chính sách chứng thư số”, đáp ứng theo tiêu chuẩn trong Thông tư số 31/2020/TT-BTTTT của Bộ 
Thông Tin và Truyền Thông (TTTT) ban hành ngày 20 tháng 10 năm 2020. 


Bản Quy chế chứng thực này hoàn toàn phù hợp với “QUY CHÉ CHỨNG THỰC MẪU CỦA 
TÔ CHỨC CUNG CÁP DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ” được quy định tại Phụ lục II 
trong Thông tư số 31/2020/TT-BTTTT của Bộ Thông Tin và Truyền Thông (TTTT) ban hành 
ngày 20 tháng 10 năm 2020. 


1. Giới thiệu 
e_ BkavCA là dịch vụ chứng thực chữ ký số công cộng của CÔNG TY CÔ PHẢN Bkav. Tài 
liệu này là Quy chế chứng thực do BkavCA ban hành. 


e_ Quy chế chứng thực này chỉ rõ những thủ tục mà BkavCA sử dụng trong việc cung cấp 
dịch vụ chứng thực chữ ký số như: ban hành, quản lý, thu hồi, làm mới chứng thư số... 
Quy chế chứng thực mà BkavCA áp dụng tuân theo những ràng buộc được chỉ rõ trong 
Chính sách chứng thư số do Trung tâm Chứng thực chữ ký số Quốc gia Việt Nam quản lý. 


1.1 Tổng quan 


e_ Trong kiến trúc hệ thống cung cấp chứng thực chữ ký số công cộng Việt Nam, đứng đầu là 
CA do Trung tâm Chứng thực chữ ký số Quốc gia Việt Nam quản lý (sau đây gọi tắt là 
RootCA). BkavCA là nhà cung cấp dịch vụ chứng thực chữ ký số công cộng được 
RootCA cấp chứng thư số và được Bộ TTTT cấp phép hoạt động. BkavCA duy trì một 
chính sách chứng thư số mà mọi thành viên trong miền quản lý (BkavCA, các RA, thuê 
bao, người nhận) phải tuân theo. 

e  BkavCA ban hành chứng thư số với mức đảm bảo cao về nhận dạng các thuê bao (tô chức, 
cá nhân). Đề đảm bảo cao về nhận dạng các thuê bao, BkavCA thực hiện các thủ tục xác 
minh nhận dạng của thuê bao: 

o_ Với thuê bao là cá nhân: thực hiện các thủ tục xác minh sự tôn tại của thuê bao. 

o_ Với đối tượng tổ chức, ngoài xác minh tồn tại của tổ chức, BkavCA xác minh nhận 
dạng của cá nhân là đại điện được ủy quyền gửi đơn xin cấp chứng thư số cho tổ chức 
đó. 

o _ Với chứng thư số cho Web Server, BkavCA xác minh quyền sở hữu tên miền mà thuê 
bao đã ghi trong đơn xin cấp chứng thư số. 

e Chứng thư số được cấp tô chức, cá nhân có thể sử dụng vào mục đính xác thực 
(Authentication); đảm bảo sự toàn vẹn của dữ liệu (Intergriy); tính bí mật 


(Confidentiality) và tính không chối bỏ (Non-repudiation) 


e_ Với mức độ đảm bảo cao, BkavCA ban hành các chứng thư số được liệt kê trong bảng 











dưới đây: 
3 ợ ‹ Mức độ n- : Ẳ 
Loại chứng thư sô đảm bảo Mô tả chức nắng 
: Xác thực Web Server, mã hóa 256 bịt 
Chứng thư sô SSL Cao phiên giao dịch SSL giữa Server vả 
ClHient. 

















Chứng thư số cho CodeSigning | Cao 


Đảm bảo an ninh cho mã nguồn, nội 
dung được phân phôi qua Internet. 








Xác thực nhận dạng của client trong 
phiên giao dịch SSL với Server ứng 


Chứng thư số cá nhân cho cơ dụng, xác thực chữ ký, mã hóa trong trao 
quan, tổ chức, cá nhân 


Cao đổi email. 


Client ở đây có thể là một cơ quan, tô 
chức hay một cá nhân. 











e_ Quy chế chứng thực này mô tả quyền và nghĩa vụ của các bên liên quan, vấn đề pháp luật 


và đặc điểm hạ tầng kỹ thuật của hệ thống BkavCA. Quy chế này mô tả các điều sau: 


© 


© 


© 


© 


Nghĩa vụ của BkavCA, RA, thuê bao, và người nhận trong miền quản lý của BkavCA. 


Các yếu tố liên quan đến pháp luật được đề cập trong thỏa thuận thuê bao, thỏa thuận 
người nhận trong miền quản lý của BkavCA. 


Kiểm tra, giám sát an ninh mà các thành viên trong miền BkavCA phải thực hiện. 


Các phương pháp mà BkavCA sử dụng để xác minh nhận dạng thuê bao, cá nhân được 


ủy quyền, thực thể giữ khóa trong quá trình ban hành, quản lý chứng thư số. 


Các thủ tục quản lý vòng đời chứng thư số bao gồm: cấp chứng thư số, ban hành 


chứng thư số, nhận chứng thư só, thu hồi và làm mới chứng thư số. 


Các thủ tục an ninh như việc ghi nhật ký kiểm tra (audit), việc lưu giữ bản ghi vận 


hành hệ thông, và việc phục hôi sự cô, thảm họa. 


Quản lý các thiết bị vật lý, con người, quản lý khóa; các quy trình, biện pháp đảm bảo 


an ninh. 
Nội dung của chứng thư số, nội dung của danh sách chứng thư số bị thu hồi. 


Các phương pháp sửa đổi bổ sung quy chế chứng thực. 


e_ Ngoài ra, quy chế chứng thực này đề cập đến các thỏa thuận giữa BkavCA với các thành 


viên trong miền quản lý của BkavCA. Những thỏa thuận này áp dụng cho RA, thuê bao, 


người nhận. Các thỏa thuận này chỉ rõ các thành viên phải làm gì để phù hợp với các yêu 


cầu trong quy chế chứng thực này. 


e Tài liệu Quy chế chứng thực tuân thủ theo “Khung quy chế chứng thực và chính sách 
chứng thư” REC 3647 


1.2 Tên và dấu hiệu nhận diện tài liệu 


e_ Tài liệu này là Quy chế chứng thực BkavCA. 





1.3. Các thành phần trong hệ thống dịch vụ chứng thực chữ ký số 


1.3.1 


1.3.2 


1.3.5 


BkavCA 
BkavCA là dịch vụ chứng thực chữ ký số công cộng của CÔNG TY CÔ PHÂN BKAYV. 
Registration Authority (RA) 


RA (Registraton Authority) là thành viên của BkavCA, có nhiệm vụ quản lý thuê bao, 
nhận và duyệt các đơn đăng ký sử dụng chứng thư số. 


Bản thân BkavCA cũng là một RA. 

Thuê bao 

Thuê bao của BkavCA là các đối tượng sở hữu chứng thư số do BkavCA ban hành 

Người nhận 

Là đối tượng tin tưởng chứng thư số hay một chữ ký số được cung cấp bởi BkavCA. 
Người nhận có thể hoặc không là một thuê bao của BkavCA. 

Các đối tượng khác 


Ngoài BkavCA, RA, thuê bao và người nhận, BkavCA không quản lý đối tượng nào khác. 


1.4 Mục đích sử dụng chứng thư số 


1.4.1 


1.4.2 


Mục đích sử dụng chứng thư số 


Thuê bao được sử dụng chứng thư số vào các mục đích được quy định bởi trường “Mục 
đích sử dụng” (KeyUsage) trong chứng thư số. 


Mục đích sử dụng không bị cắm bởi pháp luật, chính sách chứng thư số của RootCA, 
chính sách chứng thư số và quy chế chứng thực của BkavCA và thỏa thuận của thuê bao 
với BkavCA. 


Hiện tại Bkav cung cấp các gói dịch vụ tương ứng với KeyUsage được trình bày trong mục 
VÀ ĐÀ: 


Cắm sử dụng chứng thư số vào những mục đích sau 
Chứng thư số chỉ được sử dụng đúng với mục đích mà chứng thư số đó được cấp phát. 


Chứng thư số do BkavCA cấp không được sử dụng vào các mục đích như đảm bảo an ninh 


cho lĩnh vực hạt nhân, hệ thống điều khiến vũ khí... 


Chứng thư số do BkavCA cấp không được sử dụng ngoài mục đích dân sự như trong lĩnh 


vực an ninh, quân sự, đảm bảo an ninh quôc gia. 


Chứng thư số do BkavCA cấp không được sử dụng vào các mục đích vi phạm pháp luật. 
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e_ Chứng thư số của thuê bao BkavCA không được sử dụng làm chứng thư số của CA khác. 
1.5 Quản lý quy chế chứng thực 
1.5.1 Tổ chức quản lý 
e_ Công ty Cổ phần Bkav 
e_ Tầng 2, toà nhà HHI, khu đô thị Yên Hoà, phường Yên Hoà, quận Cầu Giấy, Hà Nội. 
1.5.2 Liên hệ 
e_ Người đứng đầu hệ thống 
o_ Giám Đốc: Lê Thanh Nam. 
©_ Email: NamL@bkav.com 
e_ Công ty Cổ phần Bkav 
o_ Tầng 2, toà nhà HHI, khu đô thị Yên Hoà, phường Yên Hoà, quận Cầu Giấy, Hà Nội 
©_ Email: bkavca@bkav.com 
o_ Điện thoại: 84 - 24 - 3763 2552 
1.5.3 Công nhận sự phù hợp của quy chế chứng thực 


e© BkavCA PMA (Policy Management Authority) xác nhận sự phù hợp của quy chế chứng 
thực này. 


e©_ BkavCA PMA là người đứng đầu hệ thống BkavCA. 
1.5.4 Thủ tục phê chuẩn quy chế chứng thực 
® Sự phê chuẩn được thực hiện bởi BkavCA PMA. 
e Các thay đổi, cập nhật của quy chế chứng thực được ghi lại công bố tại 
https:/bkavca.vn/cps_update. 
se Quy chế chứng thực bản mới nhất được lưu trữ tại https://bkavca.vn/cps 


1.6 Các định nghĩa và từ viết tắt 
e_ Chỉ tiết trong phụ lục I 
2. Trách nhiệm lưu trữ và công bồ thông tin 
2.1 Lưu trữ 
Tổ chức cung cấp dịch vụ chứng thực chữ ký số có trách nhiệm lưu trữ thông tin, bao gồm: 


e_ Lưu trữ và sử dụng thông tin của thuê bao một cách bí mật, an toàn và chỉ được sử dụng 


thông tin này vào mục đích liên quan đến chứng thư số. 


I1 


e_ Lưu trữ đầy đủ, chính xác và cập nhật thông tin của thuê bao phục vụ việc cấp chứng thư 
số trong suốt thời gian chứng thư số có hiệu lực và trong thời gian ít nhất 05 năm, kể từ 
khi chứng thư số hết hiệu lực. 

e_ Lưu trữ đầy đủ, chính xác và cập nhật danh sách các chứng thư số có hiệu lực, đang tạm 
dừng và đã hết hiệu lực và cho phép, hướng dẫn người sử dụng Internet truy nhập trực 
tuyến 24 giờ trong ngày và 7 ngày trong tuần. 

e_ Lưu trữ toàn bộ thông tin liên quan đến việc tạm đình chỉ hoặc thu hồi giấy phép và các cơ 
sở dữ liệu về thuê bao, chứng thư số trong thời gian ít nhất 05 (năm) năm, kể từ khi giấy 
phép bị tạm đình chỉ hoặc thu hồi. 

2.2 Công bố thông tin 

e©_ BkavCA duy trì và công bố địa chỉ lưu trữ cho phép người nhận truy nhập các thông tin về 
trạng thái và các thông tin khác của chứng thư số. 

o BkavCA công bố thông tin chứng thư số của khách hàng tại địa chỉ 
https://directory.bkavca.vn. Việc tra cứu thông tin tại địa chỉ này được thực hiện thông 
qua công kết nối trung gian để đảm bảo an toàn. Chi tiết hướng dẫn tra cứu qua trang chủ 
https://bkavca.vn/chi-tiet-huong-dan 

co Thông tin chứng thư số SHAI còn hạn bị thu hồi được công bố tại địa chỉ: 


http://crl.bkavca.vn/BkavCA.crl 





o_ Thông tin chứng thư số SHA2 còn hạn bị thu hồi được công bố tại địa chỉ: 





http:/crl.bkavca.vn/BkavCA2.crl 


e BkavCA luôn công bố phiên bản hiện tại của chính sách chứng thư số, quy chế chứng 


thực, thỏa thuận thuê bao, thỏa thuận người nhận và chính sách bảo mật tại: 


https://bkavca.vn 





e_ BkavCA công bồ thông tin CA tại: 


https://bkavca.vn 





se Địa chỉ truy cập OCSP Responder của Bkav CA: 
http:/ocsp.bkavca.vn 
2.3 Thời gian, tần suất công bố thông tin 
se Quy chế chứng thực: được cập nhật theo phần 0.12. 
e_ Thỏa thuận thuê bao, thỏa thuận người nhận: được cập nhật khi cần thiết. 


e _ Chứng thư số: được công bố khi chứng thư số được ban hành. 
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e_ Trạng thái chứng thư số: được công bố ngay lập tức lên OCSP Responder. 
e _ Danh sách chứng thư số bị thu hồi: được cập nhật hằng ngày. 
2.4. Kiểm soát truy nhập thông tin 


e BkavCA không giới hạn việc truy xuất chính sách chứng thư số, quy chế chứng thực, 
chứng thư số, thông tin trạng thái chứng thư số hay danh sách chứng thư số bị thu hồi. 


3. Nhận dạng và xác thực yêu câu xin cấp chứng thư số 
3.1 Đặt tên trong chứng thư số 


e Ngoài những trường hợp ngoại lệ được chỉ ra trong chính sách chứng thư số, quy chế 
chứng thực, tên trong chứng thư số do BkavCA cấp phải được kiểm tra tính xác thực. 


3.1.1 Quy định các kiểu tên 
e Chứng thư số chứa một tên dùng để phân biệt với các chứng thư số khác (Distinguished 
Names — DN) theo chuẩn X.501 trong trường Issuer và Subject. Các thuộc tính trong một 


DN mà BkavCA sử dụng được mô tả trong bảng dưới đây: 











Thuộc tính Giá trị 
Đà Hai chữ cái chỉ tên quôc gia theo ISO, Việt Nam được ký hiệu là 
Quôc gia (C) nu 
VN 
Tổ chức (O) Tên tô chức mà đối tượng sở hữu chứng thư số thuộc. 





Bộ phận tô chức (OU) | Bộ phận thuộc tô chức (O) mà đối tượng sở hữu chứng thư số thuộc 





Tên Tỉnh, Thành phố trực thuộc trung ương mà đôi tượng sở hữu 











Tỉnh/Thành Phố (S 
bã n= ĐÁP) chứng thư sô thuộc. 
Quận/Huyện (L) Tên Quận, Huyện mà đối tượng sở hữu chứng thư số thuộc. 
' ` Tên đổi tượng sở hữu chứng thư số, tên miền nếu là chứng thư số 
Tên thường gọi (CN) 
SSL 
Địa chỉ email (E) Địa chỉ email của đôi tượng sở hữu chứng thư sô 





Mã định danh của đôi tượng sở hữu chứng thư sô. Đối với cá nhân 
Mã số định danh sẽ là số CMND. Đối với cơ quan tô chức có Mã số 
Mã duy nhất (UID) | thuế, Bkav sẽ sử dụng Mã số thuế làm Mã định danh. Đối với cơ 
quan tô chức nhà nước không có Mã số thuế, Bkav sẽ sử dụng Mã 
ngân sách làm Mã định danh. 














e_ DN trong chứng thư số có một thành phần là CN (Common Name - tên thường gọi). CN 
trong chứng thư số của các tổ chức có thể là tên miền, tên pháp lý của tô chức hay tên của 
đại diện được ủy quyền của tô chức đó. CN trong chứng thư số của người dùng cá nhân là 
họ tên trong chứng minh thư nhân dân của người dùng đó. CN được kiểm tra tính xác thực 


trong quá trình cấp chứng thư số. 
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3.1.2 


3.1.3 


3.1.4 


3.2 
3.2.1 


3.2.2 


Quy định yêu cầu đối với tên 

Tên trong chứng thư số do BkavCA ban hành cho phép xác định được nhận dạng của đối 
tượng sở hữu của chứng thư sô. 

Quy định cú pháp định dạng tên 

Chứng thư sỐ không được sử dụng biệt hiệu hoặc nặc danh cho tên 


Việc sử dụng biệt hiệu hoặc nặc danh cho tên trong chứng thư số chỉ được thực hiện khi có 

yêu cầu của pháp luật. Khi này, nội dung tên sẽ không phải kiểm tra. 

Quy định tính duy nhất của tên 

Tên (DN) của thuê bao là duy nhất trong BkavCA. Một thuê bao có thể có nhiều chứng thư 

số với cùng DN. 

Người gửi đơn xin cấp chứng thư số không được sử dụng những tên vi phạm quyền sở hữu 

trí tuệ. Nếu có sự tranh chấp xảy ra về sở hữu thì BkavCA sẽ có quyên thu hồi, tạm dừng 

chứng thư số hay loại bỏ đơn xin cấp chứng thư số mà không phải chịu trách nhiệm pháp 

lý. 

Xác minh đề nghị cấp chứng thư số 

Phương thức chứng minh sự sở hữu khóa bí mật 

Người gửi yêu cầu xin cấp chứng thư số phải chứng minh quyền sở hữu khóa bí mật tương 

ứng với khóa công khai trong chứng thư số. BkavCA sử dụng PKCS#10 chứng minh 

quyền sở hữu khóa bí mật. Việc chứng minh sự sở hữu khóa bí mật không phải thực hiện 

khi cặp khóa được BkavCA sinh ra trên USB token. 

Xác thực nhận dạng của tổ chức 

Khi có một yêu cầu đăng ký chứng thư số nhận dạng cho tô chức, thông tin nhận dạng của 

tô chức đó được xác minh. BkavCA sẽ xác minh các thông tin bắt buộc sau: 

o_ Thông tin xác định sự tồn tại của tổ chức, gồm có: tên tô chức, giấy chứng nhận đăng 
ký kinh doanh hoặc giấy phép hoạt động, địa chỉ. 

©_ BkavCA, hoặc các RA của BkavCA thực hiện xác thực nhận dạng của tô chức theo 
các thông tin nêu trên. 

oe_ Khi chứng thư số của tô chức có chứa tên cá nhân làm đại diện, cần thực hiện các thủ 
tục xác thực sự ủy quyền như 3.2.5. 

o_ Tên miền hay email chứa trong chứng thư số khi cần xác thực cũng được xác minh về 


quyên sở hữu của tô chức với tên miên, email đó. Tên miên được xác thực dựa vào 
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3.2.3 


3.2.4 


3.2.5 


3.3 


giây đăng ký tên miên hoặc thông qua cơ sở dữ liệu của nhà cung câp tên miên. Địa 


chỉ email được xác thực bằng cách yêu cầu trả lời lại email đã được gửi từ BkavCA. 
Xác thực nhận dạng của cá nhân 


Khi có một yêu cầu đăng ký chứng thư số nhận dạng cho cá nhân, thông tin nhận dạng của 


cá nhân đó được xác minh. BkavCA sẽ xác minh các thông tin bắt buộc sau: 


o_ BkavCA, hoặc các RA của BkavCA để thực hiện xác thực nhận dạng của cá nhân 
thông qua một trong các giấy tờ sau: chứng minh thư, hộ chiếu, sơ yếu lý lịch có xác 


minh của chính quyền. 
o_ HỒ sơ xin cấp gồm có: 
“ Đơn xin cấp chứng thư (theo mẫu của BkavCA) 
" Giấy tờ xác thực nhận dạng cá nhân 
“. Các giấy tờ liên quan (nếu có) 
Quy trình xác thực nhận dạng của cá nhân đăng ký chứng thư số như sau: 
“ Người đăng ký nộp hồ sơ cho BkavCA/RA. 


“. BkavCA/RA xác minh thông tin trên hồ sơ với các thông tin trên Giấy tờ xác thực 


nhận dạng cá nhân. 
Thông tin thuê bao không được kiểm tra 
Thông tin thuê bao không được kiểm tra gồm: 
©°_ Bộ phận tổ chức - Organization Unit (OU) 
o_ Những thông tin khác được chỉ định là không được kiêm tra trong chứng thư số 
Xác thực sự ủy quyền 


Khi chứng thư sô của tô chức có chứa tên cá nhân làm đại diện, cân thực hiện các thủ tục 


xác thực sự ủy quyền, các thủ tục xác thực này bao gồm: 
o_ Xác thực sự tồn tại của tổ chức như 3.2.2. 


o_ Xác thực cá nhân như 3.2.3 và xác thực sự ủy quyền của tổ chức đối với cá nhân đó 
bằng giấy ủy quyền. Trong một số trường hợp cần làm rõ, BkavCA sẽ xác thực bổ 


sung bằng cách gọi điện hoặc xác thực trực tiếp tại tô chức về cá nhân đó. 
Xác minh đề nghị thay đổi cặp khóa 


Trước khi một chứng thư số hết hạn, thuê bao cần có một chứng thư số mới. Làm mới 


chứng thư số có thể có 2 trường hợp: 


1Š 


3.3.1 


o_ Sinh một cặp khóa mới thay thế cặp khóa trong chứng thư số đã hết hạn (đổi khóa - 
rekey). 


© Tạo chứng thư số mới cho một cặp khóa đang tồn tại (gia hạn - renewal). 


Trong phần 3.3, thuật ngữ làm mới được dùng thay thế cho cả đổi khóa và gia hạn chứng 
thư. 


Nhận dạng và xác thực yêu cầu làm mới thông thường 


Thời hạn xin làm mới của thuê bao: từ 90 ngày trước khi chứng thư số hết hạn cho tới 30 
ngày sau thời điểm chứng thư số hết hạn. Sau 30 ngày hết hạn chứng thư số, yêu cầu làm 
mới chứng thư SỐ SẼ không được chấp nhận, thuê bao phải thực hiện lại các bước như đăng 
ký mới. 

BkavCA hoặc RA có trách nhiệm xác thực yêu cầu làm mới của thuê bao sau khi nhận đơn 
xin làm mới. BkavCA sử dụng một trong hai phương pháp xác thực làm căn cứ để chấp 


nhận một yêu câu làm mới. 


o_ Chứng minh quyên sở hữu khóa bí mật: thuê bao sử dụng chứng thư số của mình để 
gửi yêu cầu gia hạn lên Bkav, khi thuê bao yêu cầu làm mới chứng thư số yêu cầu này 


ngay lập tức được Bkav chấp nhận. 


©_ Sử dụng phương pháp xác thực: Thuê bao phải trả lời đúng toàn bộ các câu hỏi xác 


thực để được BkavCA chấp nhận yêu cầu làm mới chứng thư số. 
Sau khi xác thực, BkavCA ban hành ngay chứng thư số mới cho thuê bao. 


Sau khi ban hành chứng thư số mới cho thuê bao, BkavCA hoặc RA xác minh lại nhận 


dạng của đôi tượng yêu câu làm mới chứng thư sô và các thông tin liên quan: 


o_ BkavCA hoặc RA liên lạc với thuê bao hoặc đại diện được ủy quyền nếu là tô chức 
thông qua điện thoại, email, thư tín hay các phương tiện khác để khăng định lại chính 
thuê bao đã yêu cầu làm mới chứng thư số. BkavCA cũng xác minh lại đối tượng yêu 
cầu làm mới có phải là thành viên của tổ chức như trong thông tin đăng ký ban đầu 


hay không. 

o_ Nếu tên đặc trưng (DN) trong chứng thư số chứa tên miền, BkavCA kiểm tra thông tin 
tên miền thông qua đữ liệu của các nhà cung cấp tên miền tương ứng. 

o_ BkavCA kiểm tra lại sự tồn tại của tổ chức thông qua cơ sở dữ liệu của các đơn vị 


quản lý nhà nước (Cơ quan thuế, Sở Kế hoạch Đầu tư). 


3.3.2 Nhận dạng và xác thực yêu cầu làm mới sau khi thu hồi 


Nhận dạng và xác thực được thực hiện thông qua việc sử dụng bộ câu hỏi xác thực. 
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3.4 


Thuê bao không được phép làm mới chứng thư số sau khi bị thu hồi nếu lý do thu hồi 


chứng thư số là một trong các nguyên nhân sau: 
o_ BkavCA phát hiện ít nhất 1 thông tin cần xác minh trong chứng thư số không đúng. 


o_ Chứng thư số được sử dụng trong các hoạt động phạm pháp, các hoạt động có thể ảnh 
hưởng tới uy tín của BkavCA. 


Xác minh đề nghị thu hồi chứng thư số 


Khi có một yêu cầu thu hồi chứng thư số từ thuê bao, BkavCA hoặc RA sẽ tiến hành xác 
thực thuê bao gửi yêu cầu thu hồi. Thủ tục xác thực yêu cầu có thê sử dụng một trong hai 


phương pháp sau: 


o_ Sử dụng chữ ký số: BkavCA nhận một thông điệp từ thuê bao yêu cầu thu hồi chứng 
thư số, yêu cầu thu hồi này được ký bằng chứng thư số đã được cấp. Nếu chữ ký đúng, 
chứng thư số sẽ bị thu hồi tự động. 


o_ Bkav sẽ xác nhận lại yêu cầu thu hồi chứng thư số của khách hàng, qua thông tin liên 


hệ khách hàng đã cung cấp, khi đăng ký cấp chứng thư số. 


Sau khi xác thực, BkavCA sẽ tiến hành xác thực bổ sung bằng cách liên lạc với đối tượng 
yêu cầu thu hồi để đảm bảo chắc chắn rằng chính thuê bao đã yêu cầu thu hồi chứng thư 
SỐ. Tùy từng hoàn cảnh, việc liên lạc này có thể thông qua điện thoại, email, thư tín hay 


thông qua các phương tiện truyền thông. 


RA sử dụng hệ thống quản lý chứng thư số có thể đệ trình nhiều yêu cầu thu hồi tới 
BkavCA một lúc. Mỗi yêu cầu sẽ được xác thực thông qua chữ ký số của RA. 


4. Các yêu cầu đối với vòng đời hoạt động của Khóa và chứng 
thư số thuê bao 


4.1 Yêu cầu cấp chứng thư số 


4.1.1 Ai có thể gửi đăng ký cấp chứng thư số 


e_ Các đối tượng sau có thê gửi đăng ký cấp chứng thư số: 


o_ Đại diện của các RA/CA của BkavCA. 


©o_ Cá nhân, đại diện của tô chức xin câp chứng thư sô. 


4.1.2 Đăng ký cấp chứng thư số và trách nhiệm của các bên 


4.1.2.1 Chứng thư số của thuê bao cá nhân, tổ chức 


e_ Thuê bao làm thủ tục và ký một thỏa thuận với BkavCA, các điều khoản và cam kết trong 


thỏa thuận được mô tả trong phần 9.6.3. 
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4.1.2.2 Chứng thư số của RA 


e Để đăng ký cấp chứng thư số từ BkavCA, RA phải thực hiện việc ký hợp đồng với 
BkavCA và tiến hành các thủ tục đăng ký cấp chứng thư số tương tự như các thuê bao. 


e_ BkavCA sẽ tô chức nghỉ lễ sinh khóa cho RA. 

e_ Trách nhiệm của RA được làm rõ trong phần 9.6.2. 
4.2 Xử lý yêu cầu cấp chứng thư số 
4.2.1 Nhận dạng và xác thực 


e©  BkavCA/RA sẽ thực hiện nhận dạng và xác thực mọi thông tin trong yêu cầu cấp chứng 


thư số được chỉ rõ trong phần 3.2. 
4.2.2 Duyệt đăng ký cấp chứng thư số 

e©_ BkavCA/RA chấp nhận một đơn đăng ký nếu các điều kiện sau đây thỏa mãn: 
©_ Mọi thông tin cần xác thực được nhận dạng và xác thực đúng. 
o_ Các khoản phí cần thiết đã nhận được từ đối tượng đăng ký. 

e_ BkavCA/RA không chấp nhận đơn đơn đăng ký nếu: 
©_ Một trong các thông tin cần xác thực được nhận dạng và xác thực saI. 
o_ Người đăng ký không cung cấp đủ tài liệu xác minh thông tin đã kê khai trong đơn 

đăng ký. 

o_ Bkav/CA chưa nhận được đây đủ phí từ người đăng ký 


o_ Chứng thư số có khả năng được sử dụng trong các hoạt động phạm pháp và các hoạt 


động có thê ảnh hưởng tới uy tín của BkavCA. 
4.2.3 Thời gian xử lý đăng ký cấp chứng thư số 


e_ Thời gian xử lý một yêu cầu cấp chứng thư số được quy định trong bản thỏa thuận giữa 
thuê bao với BkavCA. 


4.3. Cấp chứng thư số 
4.3.1 Vai trò của BkavCA trong tiến trình tạo chứng thư số 


e Chứng thư số được ban hành sau khi BkavCA/RA chấp nhận đơn xin cấp chứng thư số 
trực tiếp từ thuê bao hoặc thông qua RA. BkavCA ban hành cho thuê bao một chứng thư 


số dựa vào những thông tin trong đơn xin cấp chứng thư số. 
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4.3.2 


Thông báo cho thuê bao khi BkavCA đã tạo xong chứng thư số 


BkavCA sau khi ban hành chứng thư số cho sẽ thông báo cho thuê bao (trực tiếp hoặc gián 
tiếp thông qua RA). Thuê bao có thê lẫy được chứng thư số bằng cách: 


©œ_ Nhận qua USB token. 


o_ Tải về từ trang Web của BkavCA. 


4.4 Xác nhận và công bố công khai chứng thư số 


4.4.1 


4.4.2 


4.4.3 


Cách thức thể hiện sự chấp nhận một chứng thư số của thuê bao 


Thuê bao thể hiện sự chấp nhận một chứng thư số khi xác nhận thông tin trên chứng thư sỐ 
phù hợp với thông tin thuê bao. Việc xác nhận này được BkavCA thực hiện qua email 
hoặc sử dụng USB Token lần đầu tiên. Thông tin xác nhận của thuê bao được lưu trữ trên 
hệ thống. 

BkavCA công bố chứng thư số 


Sau khi thuê bao chấp nhận chứng thư số (4.4.1), BkavCA sẽ công bố chứng thư số khi 
thuê bao sử dụng USB Token lần đầu tiên. 


Chứng thư số sau khi được ban hành sẽ được công bố trên Web của BkavCA và cơ sở đữ 
liệu LDAP. 


Thông báo sự ban hành chứng thư số cho các đối tượng khác 


BkavCA sẽ thông báo về việc chứng thư số được ban hành cho RA đã chấp nhận đơn xin 
cấp chứng thư số tương ứng. 


4.5 Sử dụng cặp khóa và chứng thư số 


4.5.1 


Sử dụng của khóa bí mật và chứng thư số 


Chứng thư số và khóa bí mật tương ứng được phép sử dụng nếu thuê bao đã đồng ý thỏa 
thuận với BkavCA và đã chấp nhận chứng thư số được ban hành. 


Chứng thư số cần được sử dụng hợp pháp, phù hợp với thỏa thuận với BkavCA, với các 
điều khoản của chính sách chứng thư số, quy chế chứng thực của BkavCA. Mục đích sử 
dụng chứng thư số phải nhất quán với phạm vi sử dụng được phép của chứng thư số đó 
(quy định trong trường KeyUsage trong chứng thư số). Ví dụ, nếu không có chức năng 
“Digital Signature” thì chứng thư số đó không được sử dụng đề ký điện tử. 


Các thuê bao có trách nhiệm bảo vệ khóa bí mật của mình, không được sử dụng khóa bí 


mật nếu chứng thư số tương ứng hết hạn hay bị thu hồi. 
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4.5.2 


Khóa công khai và phạm vi sử dụng 


Đê tin tưởng vào chứng thư sô, người nhận cân đông ý với các điêu khoản của thỏa thuận 
với BkavCA 


Người nhận cần dựa vào các thông tin sau để đánh giá sự tin cậy của chứng thư số: 

oœo Mục đích sử dụng của chứng thư số thể hiện trên chứng thư số (trong trường 
KeyUsage). 

©_ Mục đích sử dụng của chứng thư số thể hiện trong các tài liệu: thỏa thuận thuê bao, 
quy chế chứng thực, chính sách chứng thư số. 

o_ Trạng thái của chứng thư số: kiểm tra trạng thái thu hồi của chứng thư số cũng như các 
chứng thư số khác trong chuỗi chứng thư số. 


4.6 Gia hạn chứng thư số 


4.6.2 


4.6.3 
©® 


4.6.4 


4.6.5 


4.6.6 


Gia hạn chứng thư số là quá trình ban hành một chứng thư số mới cho thuê bao mà ngoài 
thời hạn sử dụng chứng thư số, mọi thông tin khác trong chứng thư số đều không thay đôi. 


Các tình huống gia hạn chứng thư số 


Trước khi hết hạn, thuê bao cần phải gia hạn chứng thư số để duy trì sử dụng chứng thư số. 
Một chứng thư số cũng có thê được gia hạn sau khi hết hạn. 


Ai có thể yêu cầu gia hạn chứng thư số 

Chỉ đối tượng đăng ký chứng thư số mới có quyền yêu cầu gia hạn chứng thư số đó. 
Xử lý yêu cầu gia hạn chứng thư số 

BkavCA/RA tiến hành xác minh yêu cầu gia hạn chứng thư số như trong phần 3.3. 


Nếu thông tin thuê bao không thay đổi, chứng thư số mới của thuê bao sẽ được ban hành 
ngay sau khi BkavCA nhận được yêu cầu mà không cần có sự hiện diện vật lý của thuê 
bao tại BkavCA hoặc RA. 


Thông báo sự tạo chứng thư số mới cho thuê bao 


Thông báo về việc ban hành chứng thư số mới khi gia hạn cho thuê bao cũng giỗng như 
thông báo khi chứng thư số được cấp mới 4.3.2. 


Chấp nhận chứng thư số mới 9 
Tương tự phần 4.4.1. 
Công bố chứng thư số mới được tạo bởi CA 


Tương tự phần 4.4.2. 
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4.6.7 Thông báo tạo chứng thư số mới cho các đối tượng khác 
e_ Tương tự phần 4.4.3. 
4.7 Thay đổi cặp khóa của thuê bao 


e_ Đổi khóa là quá trình ban hành chứng thư số mới với một cặp khóa mới, thông tin khác 


trong chứng thư SỐ không bị thay đôi. Đôi khóa được hỗ trợ cho mọi loại chứng thư SỐ. 
4.7.1 Các tình huống đổi khóa 


e_ Trước khi hết hạn một chứng thư số, thuê bao đổi khóa chứng thư số để tiếp tục duy trì giá 
trị sử dụng của chứng thư số. Một chứng thư số có thể được đồi khóa sau khi đã hết hạn. 


e_ Trong trường thuê bao nghỉ ngờ bị lộ khóa bí mật, thuê bao cần yêu cầu thu hồi khóa cũ và 


đổi khóa mới để duy trì giá trị sử dụng của chứng thư số. 
4.7.2 Ai có thể yêu cầu đổi khóa 
e_ Chỉ đối tượng đăng ký chứng thư số mới có quyền yêu cầu đổi khóa của chứng thư số đó. 
4.7.3 Xử lý yêu cầu đổi khóa 
e©_ BkavCA/RA tiến hành xác minh yêu cầu đổi khóa chứng thư số như trong phần 3.3. 


e_ Nếu thông tin thuê bao không thay đổi, chứng thư số mới của thuê bao sẽ được ban hành 
ngay sau khi BkavCA nhận được yêu cầu mà không cần có sự hiện diện vật lý của thuê 
bao tại BkavCA hoặc RA. 


4.7.4 Thông báo sự tạo chứng thư số mới cho thuê bao 
e_ Thông báo về sự tạo chứng thư số mới cho thuê bao giống mô tả trong phần 4.3.2 
4.7.5 Chấp nhận chứng thư số đổi khóa 
e_ Tương tự phần 4.4.1 
4.7.6 Công bố chứng thư số đổi khóa bởi CA 
e_ Tương tự phần 4.4.2. 
4.7.7 Thông báo đổi khóa cho các đối tượng khác 
e_ Tương tự phần 4.4.3. 
4.8 Thay đổi thông tin chứng thư số 
4.8.1 Các tình huống thay đổi thông tin khác của chứng thư số 
e_ Khi thông tin chứng thư số cần thay đổi, trừ những trường hợp đã nêu trong 4.6 và 4.7 
4.8.2 Yêu cầu thay đổi chứng thư số 


e Xem phân 4.l 
21 


4.8.3. Xử lý yêu cầu thay đổi chứng thư số 


e©_ BkavCA hoặc RA sẽ thực hiện nhận dạng và xác thực mọi thông tin thuê bao được yêu cầu 


trong phần 3.2. 
4.8.4 Thông báo chứng thư số mới cho CA 
e Xem phân 4.3.2 
4.8.5 Chấp nhận chứng thư số mới được thay đổi 
e_ Xem phần 4.4.I 
4.8.6 Công bố chứng thư số mới thay đổi bởi CA 
e_ Xem phần 4.4.2 
4.8.7 Thông báo cho các đối tượng khác 
e Xem phần 4.4.3 
4.9 Tạm dừng và thu hồi chứng thư số 
4.9.1 Các tình huống thu hồi chứng thư số 
e_ Yêu cầu thu hồi chứng thư số sẽ được xử lý khi thuê bao hay các đối tượng có thẩm quyền 
(BkavCA, RA) yêu câu. Nêu chứng thư sô bị thu hôi, thông tin chứng thư sô bị thu hôi sẽ 
được công bô lên danh sách chứng thư sô bị thu hôi (CRL) và OCSP. Khi nhận yêu câu 
thu hôi từ một thuê bao cho chứng thư sô của mình, BkavCA sẽ thu hôi chứng thư sô sau 
khi xác minh. 
e_ Chứng thư số bị thu hồi trong những trường hợp sau: 
©o_ Khóa bí mật của thuê bao có chứng thư số bị lộ. 
o_ Thỏa thuận với thuê bao kết thúc trước thời hạn. 
o_ Thông tin trong chứng thư số sai khác so với thực tế. 
©o Thuê bao vi phạm thỏa thuận đã ký với BkavCA. 
o6 Chứng thư số có tên mạo danh hoặc vi phạm quyền sỡ hữu trí tuệ. 
o_ Người được cấp chứng thư số đại diện cho tô chức không còn làm việc trong tổ chức 
đó nữa. 
o_ Chứng thư số đã được tạo ra không tuân theo những thủ tục được yêu cầu bởi quy chế 
chứng thực này. 


o6 Chứng thư số được sử dụng sai mục đích, với mục đích bị cắm hoặc với các mục đích 
gây ảnh hưởng không tốt tới BkavCA. 


P4) 


4.9.2 


4.9.3 


Khi xem xét việc sử dụng chứng thư số có gây ảnh hưởng không tốt đến BkavCA hay 
không, BkavCA/RA sẽ xem xét dựa trên những yếu tổ sau: 


o_ Số lượng phàn nàn nhận được. 

o6 Mức độ tin cậy của thông tin phàn nàn. 

o_ Các phàn nàn liên quan nhiều đến các yếu tố pháp luật (ví dụ: lừa đảo). 

o_ Có phàn nàn về thiệt hại gây ra do việc sử dụng chứng thư số của thuê bao. 
BkavCA sẽ thu hồi một chứng thư số của quản trị viên khi kết thúc nhiệm vụ. 


Khi khóa bí mật của thuê bao bị mắt/lộ hoặc nghi ngờ bị mắt/lộ, thuê bao phải báo ngay 
lập tức cho BkavCA. 


Khi BkavCA/Thuê bao xác định khóa thuê bao bị lộ thì BkavCA sẽ thực hiện: 

o_ Xác minh với thuê bao về việc lộ khóa. 

o_ Thu hỏi chứng thư số của thuê bao. 

o_ Kiểm tra xác minh ảnh hưởng đến các thuê bao khác (nếu có). 

Ai có thể yêu cầu thu hồi chứng thư số 

Đối với chứng thư số của thuê bao: 

o_ Thuê bao đăng ký chứng thư số có quyền yêu cầu thu hồi chứng thư số. 

o_ BkavCA/RA có quyền yêu cầu thu hồi chứng thư số mà nó đã duyệt cho thuê bao đó. 
Bộ Thông tin và Truyền thông có thể yêu cầu thu hồi chứng thư số nếu như hồ sơ không 
đầy đủ. 

Thủ tục thu hồi chứng thư số 

Trước khi thu hồi chứng thư số, BkavCA xác thực yêu cầu thu hồi từ thuê bao bằng cách: 


o_ Sử dụng chữ ký số: BkavCA nhận một thông điệp từ thuê bao yêu cầu thu hồi chứng 
thư số, yêu cầu thu hồi này được ký bằng chứng thư số đã được cấp. Nếu chữ ký đúng, 
chứng thư số sẽ bị thu hồi tự động. 

©_ Sử dụng bộ câu hỏi xác thực: nếu thuê bao trả lời đúng các câu hỏi xác thực, quá trình 
thu hồi chứng thư số sẽ được thực hiện. 

Ngoài ra, BkavCA xác thực bổ sung bằng cách liên lạc với thuê bao để chắc chắn rằng 

chính thuê bao đó đã yêu cầu thu hồi chứng thư số. Tùy từng hoàn cảnh, việc liên lạc này 

có thê thông qua điện thoại, email, thư tín hay thông qua các phương tiện truyền thông 
khác. 


BÁC, 


e©  BkavCA sẽ xác thực nhận dạng của quản trị hệ thống thông qua xác thực chữ ký số trước 


khi cho phép thực hiện chức năng thu hồi. 


e RA sử dụng hệ thống quản lý chứng thư số để chuyên các yêu cầu thu hồi tới BkavCA. 


Mỗi yêu cầu được xác thực qua một chữ ký của RA. 
4.9.4 Thời hạn gửi yêu cầu thu hồi chứng thư số 


e_ Thuê bao sẽ gửi yêu cầu thu hồi chứng thư số ngay lập tức khi phát hiệt hay nghi ngờ khóa 


bí mật bị mắt/lộ. 


e_ Quản trị hệ thống BkavCA/RA sẽ gửi yêu cầu thu hồi chứng thư số ngay khi nhận được 
yêu cầu từ thuê bao hoặc nhận sau khi xác thực thông tin phàn nàn. 


4.9.5 Thời gian bắt đầu xử lý yêu cầu thu hồi chứng thư số của CA 
e_ BkavCA sẽ xử lý ngay khi nhận được yêu cầu thu hồi chứng thư số. 
4.9.6 Kiểm tra trạng thái thu hồi 


e Người nhận sẽ kiểm tra thông tin trạng thái chứng thư số, thông qua CRL hoặc OCSP. 
BkavCA duy trì và công bồ địa chỉ lưu trữ cho phép người nhận truy nhập các thông tin về 
trạng thái và các thông tin khác của chứng thư số như 2.2 


4.9.7 Tần suất công bố CRL mới 


e  CRL cho chứng thư số của thuê bao được cập nhật ít nhất một ngày một lần. Chứng thư số 
hết hạn sẽ bị loại khỏi CRL. 


4.9.8 Giới hạn trễ cho CRL 
e_ CRL được công bố ngay lập tức sau khi được tạo ra. 
4.9.9. Kiểm tra trạng thái chứng thư số trực tuyến 


e Thông tin thu hồi và trạng thái chứng thư số được công bố qua trang Web và OCSP như 
trong 2.2. 


4.9.10 Yêu cầu kiểm tra trạng thái thu hồi trực tuyến 


e_ Người nhận phải kiêm tra trạng thái của một chứng thư sô nêu muôn tin tưởng. Việc kiêm 


tra trạng thái chứng thư số được thực hiện thông qua OCSP Responder. 
4.9.11 Các dạng thông tin trạng thái thu hồi khác 
e_ BkavCA không sử dụng dạng thông tin trạng thái thu hồi nào khác ngoài CRL và OCSP. 
4.9.12 Yêu cầu đặc biệt khi khóa CA bị mắt hoặc lộ 
e Khi khóa bí mật BkavCA bị mắt/lộ hoặc nghi ngờ mẫt/lộ, BkavCA thực hiện: 


o_ Lập tức báo cho RootCA về việc bị mất/lộ hoặc nghi ngờ mắt/lộ khóa. 
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o_ Tạm dừng cấp phát chứng thư số cho tới khi có kết quả xác minh. 
o_ Thực hiện theo hướng dẫn của RootCA nếu bị mất/lộ khóa. 
4.9.13 Các tình huống tạm dừng chứng thư số 
e_ BkavCA không cung cấp dịch vụ này 
4.9.14 Ai có thể yêu cầu tạm dừng chứng thư số 
e_ Không đối tượng nào có thê yêu cầu tạm dừng chứng thư số 
4.9.15 Thủ tục tạm dừng chứng thư số 
e_ Không có thủ tục tạm dừng chứng thư số 
4.9.16 Giới hạn xử lý tạm dừng chứng thư số 


e  BkavCA không cung cấp dịch vụ tạm dừng chứng thư số, không có quy định về giới hạn 
xử lý tạm dừng chứng thư số. 


4.10. Kiểm tra trạng thái chứng thư số 
4.10.1 Đặc điểm 


e Trạng thái của chứng thư số được công bố qua CRL (Web hoặc LDAP) và OCSP 
responder 


4.10.2 Tính sẵn sàng của dịch vụ 
e_ Dịch vụ trạng thái chứng thư số được duy trì 24/7. Nếu có gián đoạn sẽ có thông báo trước 
24 giờ. 
4.10.3 Tùy chọn đặc biệt 
e._ OCSP là dịch vụ tùy chọn. 
4.11 Chấm dứt dịch vụ của thuê bao 
e_ Kết thúc thuê bao chứng thư số có hiệu lực trong các trường hợp sau: 
o__ Thuê bao đã hết hạn mà không làm mới. 
o__ Thu hỏi chứng thư số xây ra mà không xin cấp một chứng thư số mới. 
e_ Thủ tục thu hồi chứng thư số: 
o_ Tham chiếu mục 4.9.3 
4.12 Lưu trữ và phục hồi khóa bí mật của thuê bao 


e_ Hiện tại, BkavCA không thực hiện việc lưu trữ khóa bí mật của thuê bao cũng như cung 


cấp dịch vụ phục hồi khóa. Khóa bí mật được bảo quản bởi chính thuê bao. 


ĐẠO 


Tuy nhiên, cơ chế này hoàn toàn có thể thay đổi, phụ thuộc vào yêu cầu của luật pháp. 


5. Kiểm soát, quản lý và vận hành 


5.1 Kiểm soát an toàn, an ninh vật lý 


5.1.1 


5.1.2 


3.1.3 


5.1.4 


Bkav thực hiện các biện pháp kiêm soát và các thủ tục kiêm soát nhăm đảm bảo an ninh 


vật lý cho toàn bộ hệ thống. Được thể hiện theo các nội dung dưới đây. 
Vị trí đặt và xây dựng hệ thống 
Hệ thống thiết bị BkavCA được đặt tại hai trung tâm dữ liệu của công ty Bkav. 


Mỗi địa điểm đặt thiết bị được trang bị nhiều lớp bảo vệ khác nhau: bảo vệ vật lý vòng 


ngoài của tòa nhà, bảo vệ khu đặt thiết bị, bảo vệ tủ đặt thiết bị, bảo vệ chống cháy nỗ. 
Truy cập vật lý 


Hệ thống BkavCA được bảo vệ nhất bởi các lớp an ninh vật lý, phải vượt qua được lớp bảo 
vệ thấp trước khi có thÊ tiếp cận được lớp bảo vệ cao hơn. Hệ thống camera giám sát hoạt 


động 24/7 cho phép ghi lại toàn bộ các hoạt động. 
©œ_ Lớp bảo vệ vòng ngoài - bảo vệ tòa nhà 
o_ Lớp bảo vệ khu đặt thiết bị 


Việc truy nhập qua các lớp được được kiểm soát chặt chẽ, chỉ những người có quyền truy 
cập mới được truy nhập vào các lớp tương ứng. Càng truy nhập vào các lớp quản lý yêu 


cầu an ninh cao, sự hạn chế càng tăng. 

Tất cả mọi truy nhập đều được ghi nhận. 

Điều kiện về nguồn điện và không khí 

BkavCA sử dụng nguồn điện ồn định, được thực hiện theo: 
o_ Sử dụng hệ thống UPS. 


o_ Có máy phát điện dự phòng, tự động chuyên từ điện lưới sang điện máy phát, hệ thống 
máy phát điện được kiểm tra bảo dưỡng định kỳ để đảm bảo tính sẵn sàng cao nhất. 


BkavCA trang bị hệ thống điều hòa có điều khiển chính xác nhiệt độ. Hệ thống cảnh báo 
khi nhiệt độ vượt ngưỡng cho phép. 


Chống nước 


Hệ thống thiết bị của BkavCA được bố trí hạn chế tối đa sự tiếp xúc với nước. 
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5.1.5 


5.1.6 


=¬Nị 


5.1.8 


Chống và bảo vệ trước các nguy cơ về lửa 


Hệ thống thiết bị của BkavCA được bố trí giảm thiêu tối đa các nguy cơ về lửa. BkavCA 
có quy định về phòng chống cháy nổ. Các biện pháp phòng cháy chữa cháy và thiết bị 
chữa cháy được chuẩn bị đầy đủ. 


Phương tiện lưu trữ dữ liệu 


Phương tiện lưu trữ dữ liệu của BkavCA được bảo vệ tương đương với mức độ quan trong 


của đữ liệu mà hệ thống đó lưu trữ. 
Phương tiện lưu trữ dữ liệu backup cũng được bảo vệ tương tự như hệ thống chính. 
Xử lý rác thải 
Rác thải là tài liệu nhạy cảm, phương tiện lưu trữ dữ liệu được hủy bằng các biện pháp phù 
hợp trước khi được bỏ đi. Đảm bảo các thông tin trên các rác thải này không thê đọc được. 
Quy trình xử lý rác thải, tiêu hủy thông tin nhạy cảm: 
Hủy tài liệu giấy 

o_ Bước 1: Chuẩn bị máy hủy tài liệu kiểu hủy vụn 

o_ Bước 2: Hủy tải liệu 

“. Cho tài liệu vào máy hủy tài liệu. Tài liệu lần lượt được cho đến hết. Nếu số 


lượng tài liệu nhiêu hơn so với sức chứa của máy, thì lây các mảnh giây đã 


cắt ra khỏi máy trước khi tiêp tục cho tài liệu vào hủy. 
©_ Bước 3: Chia sô giây vụn ra các túi khác nhau 


"_ Lây một phân vụn giây từ môi loại tài liệu và cho chúng vào các túi khác 


nhau. 
o_ Bước 4: Vứt bỏ tài liệu đã cắt vào ngày gom rác 
Hủy tài liệu điện tử 
o_ Cách I: Xóa tài liệu, ghi đè lên ô cứng nhiều lần 
o_ Cách 3: Dùng bộ khử từ ô cứng 
o_ Cách 4: Phá hủy ổ cứng bằng phương pháp vật lý 
Hệ thống dự phòng ở địa điểm khác 


BkavCA thực hiện việc lưu trữ dữ liệu dự phòng tại địa điểm dự phòng. Các biện pháp 
kiểm soát an ninh đối với hệ thống dự phòng cũng tương tự như hệ thống chính. 


ĐÀN 


5.2 Quy trình kiểm soát 


5.2.1 


5.2.2 


5.2.3 


5.2.4 


Những vai trò được tin tưởng 


Người được tin tưởng là những người có thể truy cập hay điều khiến các thao tác xác thực, 


mã hóa, liên quan đên: 
o6 Việc xác minh các thông tin trong đơn xin câp chứng thư sô. 


co Việc châp nhận, loại bỏ, hay các xử lý khác đôi với đơn xin câp chứng thư sô, yêu câu 


thu hồi, làm mới, hay thông tin đăng ký. 
o_ Việc ban hành, thu hồi chứng thư số. 
o__ Việc quản lý thông tin thuê bao, thông tin yêu cầu từ thuê bao. 
Người được tin tưởng bao gồm nhưng không giới hạn các đối tượng sau: 
o_ Người đứng đầu hệ thống. 
©_ Người quản trị hệ thống và bộ phận quản trị hệ thống. 
o_ Người phụ trách cấp phát chứng thư số và bộ phận phụ trách cấp phát chứng thư số. 


Những người được tin tưởng đều được xác minh về nhân thân, khả năng đảm bảo đáp ứng 


yêu cầu công việc trước khi được giao nhiệm vụ. 
Số lượng người được yêu câu trên một nhiệm vụ 


BkavCA thiết lập các chính sách và thủ tục kiểm soát đảm bảo có nhiều người tin tưởng 
thực hiện một công việc nhạy cảm như truy cập, điều khiển module phần cứng mã hóa, sao 
lưu key trên HSM. 


Các chính sách và thủ tục kiểm soát này của BkavCA luôn đòi hỏi có ít nhất 2 người để 


thực hiện các công việc nhạy cảm. 
Nhận dạng và xác thực trong mỗi vai trò 


Mọi cá nhân trước khi trở thành người được tin tưởng trong hệ thống BkavCA đề phải 
được xác minh nhân thân, nhận dạng và trình độ. Quá trình nhận dạng được trình bày 


trong phần 5.3. . 


BkavCA đảm bảo rằng các cá nhân hoàn toàn được tin tưởng trước khi thực hiện các công 


việc nhạy cảm. 
Những vai trò yêu cầu phải phân tách nhiệm vụ 
Các vai trò cần phải có sự phân tách nhiệm vụ, bao gồm nhưng không giới hạn: 


o__ Xác minh thông tin trong đơn xin cấp chứng thư số, 
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co Châp nhận, từ chôi hay các xử lý khác với đơn xin câp chứng thư sô, yêu câu thu hôi, 


làm mới chứng thư số 
o_ Ban hành, thu hồi chứng thư số. 


o_ Quản lý thông tin, yêu cầu của thuê bao. 


5.3 Kiểm soát nhân sự 


5.3.1 


5.3.2 


5.3.3 


5.3.4 


Khả năng chuyên môn, kinh nghiệm và các yêu cầu chứng minh sự trong 
sạch 


Những người tin cậy của BkavCA được xác minh dựa trên: khả năng và kinh nghiệm 
chuyên môn đáp ứng các nhu cầu công việc, các bằng chứng chứng minh sự trong sạch về 
lý lịch. 


Các thủ tục kiểm tra lý lịch, trình độ 


Trước khi bô nhiệm nhân viên vào một nhiệm vụ cân được tin tưởng, BkavCA kiêm tra 


các thông tin sau: 

o_ Kiểm tra, xác minh thông tin theo sơ yếu lý lịch. 
o_ Xác minh trình độ học vấn cao nhất đạt được. 

©_ Xem xét các thông tin tiền án/tiền sự (nếu có). 
Yêu cầu đào tạo 


BkavCA thực hiện các chương trình đào tạo nội bộ cho đội ngũ nhân viên, quá trình đào 


tạo được thực hiện theo quy trình, có ghi lại nhật ký đào tạo cho từng cá nhân. 


Chương trình huấn luyện của BkavCA hướng tới trách nhiệm cụ thể của mỗi nhân viên, 


nội dụng huấn luyện bao gồm: 

o_ Các khái nệm PKI cơ bản. 

©o Trách nhiệm công viỆc. 

o_ Các chính sách và thủ tục an ninh của BkavCA. 

o__ Sử dụng và vận hành các thiết bị phần cứng và phần mềm. 

o_ Xử lý các sự cố. 

©o_ Các thủ tục duy trì tính liên tục của dịch vụ khi có thảm họa. 
Tần suất đào tạo và đào tạo lại 


BkavCA duy trì và thực hiện chương trình đào tạo với tần suất đào tạo và thời gian đào tạo 


lại đảm bảo các nhân viên đêu thành thạo và thực hiện tôt công việc được g1ao. 


Áo, 


5.3.5 


5.3.6 


5.3.7 


5.3.8 


Tần suất luân chuyển công việc 


BkavCA thực hiện chính sách luân chuyền cán bộ trong phạm vi nội bộ của mình. 


BkavCA không quy định cụ thê về tần suất luân chuyên công việc. 
Hình phạt đối với các hành động không được phép 


BkavCA thực hiện các hình thức kỷ luật các nhân viên có những hành động không được 
phép, vi phạm các chính sách, thủ tục của BkavCA. Hình thức kỷ luật có thể gồm khiển 
trách, đình chỉ công việc tạm thời hoặc cho thôi việc, tùy thuộc vào mức độ nghiêm trọng 
của vi phạm. 

Hợp đồng với các cố vấn độc lập 

Trong một SỐ trường hợp, các có vẫn độc lập có thể được thuê để thực hiện một số công 
việc cần sự tin tưởng của BkavCA. Những người này cũng phải tuân theo các tiêu chuẩn 
an ninh như nhân viên của BkavCA. Nếu các cô vẫn không đáp ứng đủ các tiêu chí trong 
5.3.2, họ chỉ được phép thực hiện công việc khi có sự giám sát của người được tin tưởng 
của BkavCA. 

Cung cấp tài liệu cho nhân viên 


BkavCA cung câp các tài liệu cân thiệt cho nhân viên, đảm bảo các nhân viên có thê thực 


hiện tôt công việc với các tài liệu được cung câp. 


5.4 Các quy trình ghi nhật ký hệ thống 


5.4.1 


Các loại sự kiện được ghi lại 


BkavCA ghi nhật ký (log) các sự kiện sau, việc ghi log được thực hiện tự động hay và thủ 
công tùy vào từng trường hợp: 


o_ Các sự kiện vòng đời chứng thư số: 
“ Đăng ký, làm mới, đôi khóa, thay đổi, và thu hồi chứng thư số. 
“_ Kết quả khi xử lý những yêu cầu. 
“ Tạo khóa và ban hành chứng thư số, CRL. 
oe_ Các sự kiện liên quan đến an ninh: 
“ Truy cập hệ thông (thành công/không thành công). 
" Hành động đọc, ghi hoặc xóa các file, bản ghi an ninh nhạy cảm. 
“ Hồ sơ an ninh bị thay đổi 
“ Sự có hệ thống và những hiện tượng bắt thường. 


". Hoạt động của tường lửa, roufer. 
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5.4.2 


5.4.7 


“_ Thiết bị giám sát vào ra. 
Mỗi bản ghi nhật ký gồm các thông tin sau: 
©_ Thời gian của bản ghi 
co Thứ tự của bản ghi (đối với bản ghi được tạo tự động). 
o_ Đối tượng tạo ra bản ghi 
o_ Loại bản ghi 
RA ghi lại các thông tin đăng ký bao gồm: 
©o_ Loại tài liệu nhận dạng được người đăng ký đưa ra. 
o_ Thông tin định danh như: số chứng minh thư, số hộ chiếu... 
©o_ Nơi lưu trữ các bản sao đơn đăng ký và tài liệu nhận dạng. 
o_ Tên RA tiếp nhận đơn 
Tần suất xử lý nhật ký 


Nhật ký kiểm tra được kiểm tra, xử lý hàng tuần và khi có sự kiện không bình thường xảy 


Ta. 
Tổng kết nhật ký được tài liệu hóa bằng văn bản. 
Thời hạn giữ lại các nhật ký 


Nhật ký sẽ được giữ tại hệ thống ít nhất 2 tháng sau khi xử lý và sau đó được chuyển sang 
khu vực lưu trữ (phần 5.5.2). 


Bảo vệ các nhật ký 


Nhật ký được bảo vệ với trước các hành động xem, thay đôi, xóa hay các tác động khác mà 
không được phép. 


Các thủ tục dự phòng nhật ký kiểm toán 

Nhật ký được backup theo chế độ backup chung của BkavCA. 

Hệ thống ghi nhật ký 

Các log ứng dụng, hệ điều hành và mạng được ghi lại tự động 

Một số log được ghi bằng tay bởi nhân viên. 

Chỉ tiết về nơi lưu nhật ký và cơ chế lưu được mô tả trong Phương án kỹ thuật. 
Thông báo cho đối tượng gây ra sự kiện 


Khi một sự kiện được ghi nhật ký, không có thông báo cho đối tượng gây ra sự kiện đó. 
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5.4.8 Đánh giá hệ thống 


e_ Dữ liệu nhật ký sẽ được đưa vào phân tích, kết quả phân tích sẽ cho biết các nguy cơ tiềm 


tàng trong hệ thống, từ đó có phương án khắc phục. 
5.5 Lưu trữ các bản ghi 
5.5.1 Các loại bản ghi được lưu trữ 

o_ Mọi đữ liệu nhật ký trong phần 5.4. 

o_ Thông tin đơn xin cấp chứng thư số. 

o_ Các thông tin bố sung của đơn xin cấp chứng thư số. 

o_ Thông tin vòng đời chứng thư số như: thu hồi, đổi khóa, làm mới... 
5.5.2 Thời hạn giữ lại các lưu trữ 

e_ Thời gian lưu trữ các bản ghi ít nhất là 5 năm. 

5.5.3 Bảo vệ lưu trữ 


e_ Hệ thống lưu dữ liệu lưu trữ được bảo vệ để chỉ những người được phép mới có thể truy 
nhập. Dữ liệu lưu trữ được bảo vệ theo các phương pháp cần thiết, chống lại việc xem, 
thay đổi, xóa hay các thao tác khác không được cho phép. Hệ thống chứa dữ liệu lưu trữ và 
ứng dụng xử lý đữ liệu lưu trữ được duy trì để đảm bảo dữ liệu lưu trữ có thể được truy 
nhập trong khoảng thời gian được quy định trong quy chế chứng thực này. 


5.5.4 Các thủ tục sao lưu lưu trữ 
e_ Dữ liệu lưu trữ được backup theo chế độ backup chung của BkavCA. 
5.5.5 Nhãn thời gian của các bản ghi 
e_ Chứng thư số, CRL chứa thông tin thời gian, ngày tháng. Thông thời gian không cần được 
mã hóa. 
5.5.6 Hệ thống lưu trữ 


e_ Hệ thống lưu trữ của BkavCA là tập trung, trừ trường hợp khách hàng doanh nghiệp với 
vai trò là RA. 


5.5.7 Thủ tục lấy và kiểm tra thông tin lưu trữ 
e_ Chỉ những người được cấp quyền mới được phép truy nhập tới thông tin lưu trữ. 


e_ Thông tin lưu trữ sẽ được kiểm tra tính toàn vẹn khi được lẫy ra. 
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5.6 Thay đổi khóa 


Trước khi chứng thư số của CA hết hạn, theo quy định, BkavCA sẽ xin cấp một chứng thư 
số mới cho CA của mình và sử dụng chứng thư số mới để ban hành chứng thư số cho các 


thuê bao. 


Trong giai đoạn này, chứng thư số do BkavCA ban hành có thời gian sử dụng không quá 
thời gian sử dụng chứng thư số của BkavCA được dùng để ký lên nó. 


Cặp khóa của BkavCA sẽ không được sử dụng quá thời gian có hiệu lực của nó được quy 
định trong quy chế này. Chứng thư số của BkavCA có thê được gia hạn (đổi khóa) khi 
trước khi cặp khóa cũ hết hạn. 


Trước khi hết hạn chứng thư số của BkavCA, các thủ tục được ban hành cho phép chuyển 
tiếp (changeover) từ cặp khóa cũ sang cặp khóa mới cho các thực thể thuộc phạm vi quản 


lý của BkavCA. Quá trình chuyền tiếp khóa của BkavCA đảm bảo rằng: 


o_ BkavCA chỉ ban hành chứng thư số mới cho thuê bao trước thời điểm nhất định so với 
ngày hết hạn cặp khóa. Thời điểm này là thời điểm tạm dừng ban hành chứng thư số, 
do pháp luật quy định. 

o_ Khi nhận được yêu cầu ban hành chứng thư số sau thời điểm tạm dừng ban hành 
chứng thư số trên, BkavCA sử dụng cặp khóa mới để ban hành chứng thư số cho thuê 
bao 

CA tiếp tục ký lên CRL bằng cặp khóa cũ đến khi nào hết hạn toàn bộ chứng thư số được 

ban hành bởi cặp khóa cũ. 


5.7 Xử lý sự cố, thảm họa và phục hồi 


5.7.1 


S./.2 


3./.5 


Các thủ tục kiểm soát sự cố và thảm họa 

Các thông tin sau được backup đề phòng có sự cố và thảm họa: đữ liệu về đơn xin cấp 
chứng thư số, dữ liệu nhật ký, và các bản ghi chứng thư số được tạo ra. 

Khi có sự cố, các dữ liệu được phục hỏi theo các thủ tục đã có. 

Sự cố về máy tính, phần mềm và dữ liệu 

Khi có các sự cố về máy tính, phần mềm và đữ liệu, các thủ tục xử lý sự có được thực 
hiện. Mỗi sự cố sẽ có các quy trình xử lý khác nhau. Nếu sự cố nghiêm trọng, các thủ tục 
phục hồi sẽ được thực hiện 

Thủ tục xử lý khi khóa bí mật bị làm mắt/lộ 

Khi khóa bí mật của BkavCA nghi ngờ bị mắẫt/lộ, BkavCA sẽ thực hiện thủ tục xử lý khi 
khóa bị lộ. Đội xử lý sự cố ninh của BkavCA - BkavCA Security Incident Response Team 


(BSIRT) chịu trách nhiệm điều phối thực hiện các bước trong thủ tục này. BSIRT bao gồm 
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9.7.4 


người đứng đầu BkavCA, người phụ trách kỹ thuật và người phụ trách cấp phát chứng thư 
SỐ. 

Nếu chứng thư số của BkavCA bị thu hồi, các thủ tục sau sẽ được thực hiện: 

o_ Trạng thái thu hồi chứng thư số của BkavCA sẽ được công bố bởi RootCA. 


o_ BkavCA cố gắng thông báo cho toàn bộ người nhận trong hệ thống BkavCA dừng sử 
dụng các chứng thư số do BkavCA ban hành. 


o_ BkavCA xin cấp chứng thư số mới từ RootCA và ban hành chứng thư số cho các thuê 


bao của mình đề họ tiếp tục sử dụng. 
Khả năng phục hồi hoạt động sau thảm họa 


BkavCA thực hiện các kế hoạch dự phòng, đảm bảo hoạt động liên tục kế cả có thảm họa. 
Kế hoạch này được xây dựng thành các BCP (Business Continuity Planning). Các BCP 


này được kiêm tra, thử nghiệm và xem xét định kỳ. 


BkavCA có khả năng phục hồi những hoạt động quan trọng trong vòng 24 giờ sau khi một 
thảm họa xảy ra. Ít nhất các hoạt động sau sẽ được phục hồi: 


o_ Ban hành chứng thư số. 
o_ Thu hỏi chứng thư số. 
o_ Công bố thông tin thu hồi chứng thư số. 


Cơ sở đữ liệu của BkavCA phục hồi thảm họa sẽ được đồng bộ với cơ sở dữ liệu chính 
trong thời gian phù hợp, ít nhất là một ngày một lần đòng bộ. 

Kế hoạch phục hồi của BkavCA được thiết kế có khả năng phục hồi hoạt động toàn bộ hệ 
thống trong vòng một tuần. 

BkavCA dự phòng các thiết bị phần cứng và phần mềm cung cấp dịch vụ. Khóa bí mật của 


BkavCA cũng được dự phòng và duy trì phục vụ cho mục đích phục hồi hệ thống như 
phần 6.2.4. 


5.8 Dừng hoạt động 


Khi không còn hoạt động, BkavCA hoặc RA dùng mọi biện pháp có gắng thông báo cho 

thuê bao, người nhận và các đối tượng trước khi dừng hoạt động. BkavCA, RA sẽ có kế 

hoạch kết thúc nhằm giảm thiểu thiệt hại nhất cho khách hàng. BkavCA thực hiện kế 

hoạch kết thúc như sau: 

o_ Chuẩn bị thông báo cho các thành viên bị ảnh hưởng (thuê bao, người nhận và RA nếu 
cần). 


o6 Chịu chi phí cho các thông báo. 
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o_ Bảo quản dữ liệu lưu trữ và bản ghi của CA trong thời gian được quy định bởi quy chế 
này. 

o_ Tiếp tục dịch vụ hỗ trợ thuê bao và khách hàng tới khi các chứng thư số do BkavCA 
ban hành hết hạn. 


o_ Tiếp tục dịch vụ thu hồi như ban hành CRL và duy trì OCSP tới khi các chứng thư số 
do BkavCA ban hành hết hạn. 


o__ Thu hỏi chứng thư số của thuê bao nếu cần thiết. 


o__ Có chính sách trả lại tiền cho thuê bao bị thu hồi chứng thư số nếu chứng thư số của họ 
chưa hết hạn, chưa bị thu hồi nhưng phải thu hồi do kế hoạch dừng hoạt động. Trong 
trường hợp có thể, BkavCA thỏa thuận cùng thuê bao bị thu hồi chứng thư số về việc 
thuê bao chuyên sang sử dụng dịch vụ tại nhà cung cấp dịch vụ khác, chi phí và các 


thủ tục cần thiết sẽ do BkavCA đảm nhiệm. 
o_ Thực hiện các thủ tục chuẩn bị trước khi chuyên các dịch vụ chứng thực sang cho CA 
khác. 
6. Đảm bảo an toàn an ninh về kỹ thuật 
6.1 Tạo và phân phối cặp khóa 
6.1.1 Tạo cặp khóa 
e_ Cặp khóa cho BkavCA được sinh ra trong thiết bị phần cứng đạt chuẩn EIPS 140-2 level 3. 
e- Quy trình sinh khóa Thuê bao: 
“ Thuê bao hoàn thành đơn đăng ký chứng thư số và cung cấp tài liệu xác minh thông 
tin đã kê khai. 
" Cặp khóa của thuê bao được tạo bên phía thuê bao hoặc trên USB Token đạt tiêu 


chuẩn theo quy định, trong trường hợp thuê bao có thỏa thuận cho phép tạo khóa 
phía BkavCA 


" Cặp khóa thuê bao được tạo trong thiết bị đạt tiêu chuẩn theo quy định 

" Cặp khóa được tạo bởi thuật toán RSA với độ dài khóa là 1024/2048 bịt. 

“. Gửi khóa công khai trực tiếp cho BkavCA hoặc thông qua RA 

“_ Chứng minh quyền sở hữu và tính duy nhất của khóa bí mật tương ứng với khóa 
công khai vừa gửi theo 3.2. l. 


6.1.2 Gửi khóa bí mật cho thuê bao 


e_ Hệ thống phân phối khóa cho thuê bao của BkavCA đảm bảo sự toàn vẹn và bảo mật của 
cặp khoá. 
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e_ Các giải pháp phân phối khóa của BkavCA như sau: 


6.1.4 


6.1.6 


6.1.7 


o_ Trường hợp cặp khóa được tạo ở phía thuê bao: không cần phải gửi khóa bí mật cho 


thuê bao. 


o6 Trường hợp cặp khóa được tạo trên BkavCA: Khóa bí mật được lưu trong USB Token. 
BkavCA chịu trách nhiệm và đảm bảo giao USB Token và mật khẩu sử dụng đến tận 


tay thuê bao một cách an toàn theo quy trình chuyền giao khóa bí mật: 
“ Mật khẩu sử dụng cho USB Token được tạo ngẫu nhiên cho từng thuê bao. 


“_ USB Token và mật khẩu sử dụng được đóng gói và niêm phong trong phong bì của 
BkavCA. 


“. Bkav cung cấp dịch vụ chuyển USB Token đến tận nơi cho thuê bao thông qua dịch 


vụ chuyên phát của Bkav hoặc đối tác. 


“_ Thuê bao chỉ ký vào biên bản giao nhận khi USB Token và mật khẩu sử dụng nằm 


trong phong bì vẫn còn niêm phong. 
Gửi khóa công khai cho BkavCA 


Khóa công khai được thuê bao gửi cho BkavCA thông qua thông điệp dạng PKCS#10. 
Nếu cặp khóa được tạo bên phía BkavCA, việc gửi khóa cho CA là không cần thiết. 


Gửi khóa công khai của BkavCA cho người nhận 


Người nhận có thể tải về khóa công khai của BkavCA và RootCA từ trang Web của 
BkavCA. 


Việc gửi khóa này cũng thông qua một phiên SSL để đảm bảo an ninh. 

Độ dài khóa 

BkavCA chỉ chấp nhận cặp khóa có độ dài tối thiểu tương đương 1024 bit RSA cho các 
chứng thư sô. 

Các tham số sinh khóa công khai và kiểm tra chất lượng 


Quá trình sinh khóa công khai tuân theo chuẩn PKCS #1, đáp ứng theo các tiêu chuẩn 
trong Thông tư số 6/2015/TT-BTTTT ban hành ngày 23 tháng 3 năm 2015. 


Mục đích sử dụng khóa (trường Key Usage của X.509 v3) 
Xem phần 7.1.2. I. 
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6.2 
6.2.1 


6.2.2 


6.2.3 


6.2.4 


6.2.5 


6.2.6 


6.2.7 


Kiểm soát và bảo vệ khóa bí mật 
Tiêu chuẩn module mã hóa 


BkavCA sử dụng thiết bị mã hóa phần cứng chuyên dụng (Hardware Security Module) để 
lưu trữ khóa bí mật của BkavCA. Thiết bị HSM của BkavCA đáp ứng chuẩn chuẩn FIPS 
140-2 level 3. 


Cơ chế kiểm soát khóa bí mật 


Cơ chế kiểm soát khóa bí mật được BkavCA sử dụng là cơ chế chia sẻ mã. Cơ chế này 
tách dữ liệu kích hoạt khóa bí mật thành N phần khác nhau, các phần này được giữ bởi các 
đối tượng khác nhau. 


Với mỗi chức năng nhất định, cần có M phần (M nhỏ hơn hoặc bằng N) mã chia sẻ để kích 
hoạt chứng năng đó. 


Tại BkavCA,N = 4; 

Lưu giữ ngoài khóa bí mật của thuê bao 

Lưu giữ ngoài khóa bí mật (key escrow) của thuê bao được trình bày trong phần 4. 12. 
Dự phòng khóa bí mật 


BkavCA sẽ dự phòng (backup) khóa bí mật của mình để đề phòng thảm họa và trục trặc 
thiết bị. Khóa bí mật của BkavCA được lưu trữ dự phòng trong các thiết bị HSM. 
BkavCA không dự phòng khóa bí mật cho RA. Khóa bí mật của thuê bao được dự phòng 


như 6.2.3. Khóa bí mật được lưu trữ trong các thiết bị như USB Token sẽ không được dự 
phòng. 


Lưu trữ khóa bí mật 


Sau khi chứng thư số của BkavCA hết hạn, cặp khóa tương ứng vẫn được lưu trữ (archive) 
an toàn với thời hạn ít nhất 5 năm trong HSM. Những cặp khóa đó sẽ không còn được sử 
dụng cho bất kỳ hoạt động của BkavCA . 

BkavCA không lưu trữ khóa bí mật của RA, của thuê bao khi không có yêu cầu của pháp 


luật. 
Chuyễn khóa bí mật vào/ra HSM 


BkavCA giữ khóa trên một HSM và một bản sao khóa để dự phòng phục vụ cho trường 
hợp phục hồi hệ thống trên một HSM khác. Khóa bí mật sẽ được mã hóa trong quá trình 
chuyên giữa 2 HSM. 


Lưu trữ khóa bí mật trong HSM 


BkavCA giữ khóa bí mật trong các HSM, khóa bí mật được lưu trong dạng được mã hóa. 
kXÍ 


6.2.8 Phương thức kích hoạt khóa bí mật 


Các thành viên BkavCA sẽ có các biện pháp bảo vệ kích hoạt khóa bí mật phù hợp, cụ thê: 


o_ Đối với thuê bao: khóa bí mật được lưu trong USB token, việc kích hoạt khóa bí mật 
yêu cầu mật khẩu bảo vệ. Khi không sử dụng, khóa bí mật tồn tại ở dạng mã hóa. 

o_ Đối với quản trị hệ thống BkavCA/RA: khóa bí mật được lưu trong USB token, việc 
kích hoạt khóa bí mật yêu cầu mật khẩu bảo vệ. Khi không sử dụng, khóa bí mật tồn 
tại ở dạng mã hóa. 

o_ Đối với RA: khóa bí mật được lưu trong USB token, việc kích hoạt khóa bí mật yêu 
cầu mật khẩu bảo vệ và phải xác thực được ít nhất 2 người quản trị. Khi không sử 
dụng, khóa bí mật tỒn tại ở dạng mã hóa. 

o_ Đối với BkavCA: sử dụng HSM để lưu trữ khóa bí mật, việc kích hoạt khóa bí mật yêu 


câu các mã chia sẻ theo cơ chê chia sẻ mã trong 6.2.2. 


6.2.9 Phương pháp ngừng kích hoạt khóa bí mật 


Khóa bí mật của BkavCA/RA bị ngừng kích hoạt khi không chứa trong Token Reader 
(HSM). RA của BkavCA được yêu cầu phải đăng xuất khỏi hệ thống khi rời chỗ làm việc. 


Khóa bí mật của quản trị hệ thống, của RA và của thuê bao có thê bị ngừng kích hoạt sau 
mỗi nhiệm vụ, sau khi đăng xuất hệ thống hoặc sau khi loại bỏ USB Token khỏi máy tính. 
Trong mọi trường hợp, thuê bao phải có nghĩa vụ thực hiện các biện pháp bảo vệ khóa bí 


mật của mình. 


6.2.10 Phương pháp hủy bỏ khóa bí mật 


Việc xóa khóa bí mật được thực hiện theo phương pháp an toàn, đảm bảo không thể phục 
hồi lại khóa đã xóa. 

Khóa bí mật lưu trên USB token được xóa bằng phần mềm quản trị USB token 

Khóa bí mật lưu trên HSM được xóa bằng chứng năng xóa khóa của HSM 


Các hoạt động hủy bỏ khóa bí mật được ghi nhật ký. 


6.2.11 Đánh giá module mã hóa 


6.3 


Xem phần 6.2.I 


Các vẫn đề khác liên quan đến quản lý cặp khóa 


6.3.1 Lưu trữ khóa công khai 


BkavCA sẽ lưu trữ khóa công khai của mình, của RA và toàn bộ thuê bao. 
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6.3.2 


6.4.1 


6.4.2 


Thời hạn sử dụng chứng thư số và thời hạn sử dụng cặp khóa 
Thời hạn sử dụng của chứng thư số sẽ kết thúc khi chứng thư số đó hết hạn hoặc bị thu hồi. 


Thời hạn sử dụng cặp khóa của thuê bao giống như thời hạn sử dụng của chứng thư số, 


ngoại trừ chức năng giải mã và kiểm tra chữ ký sau khi chứng thư số hết hạn. 


BkavCA không ban hành các chứng thư số có thời hạn sử dụng vượt quá thời hạn sử dụng 
chứng thư số của CA. 


Chứng thư số mà BkavCA cung cấp cho thuê bao tùy thuộc vào thỏa thuận với thuê bao, 

thông thường là 1 năm. Chứng thư số cũng có thể kéo dài đến 2 năm hoặc hơn với các 

điều kiện sau: 

o_ Thuê bao được yêu cầu thực hiện lại các thủ tục xác thực ít nhất 12 tháng một lần 
(phần 3.2.3). 


o_ Thuê bao phải chứng minh quyền sở hữu khóa bí mật ít nhất 12 tháng một lần. 


Nếu điều kiện trên không được thực hiện, BkavCA sẽ tự động thu hồi chứng thư số thuê 


bao. 

Kích hoạt dữ liệu 

Tạo và cài đặt dữ liệu kích hoạt 

Dữ liệu kích hoạt khóa bí mật của BkavCA được chia thành các mã chia sẻ, các mã chia sẻ 

này được tạo theo các yêu cầu trong phần 6.2.2 và tuân theo các thủ tục của nghỉ lễ sinh 

khóa. Quá trình tạo và phân phối mã chia sẻ được ghi nhật ký. 

Mật khẩu đề bảo vệ kích hoạt khóa bí mật được đặt theo nguyên tắc mật khẩu mạnh: 

o_ Có ít nhất 9 ký tự. 

6o Chứa từ 3 trong 4 loại ký tự sau: chữ hoa (A, B, C...), chữ thường (a, b, c), chữ số (0, 
1, 2...) và các ký hiệu (!, @, $...) 

o__ Không chứa tất cả hoặc một phần tên tài khoản người dùng tương ứng. 

Bảo vệ dữ liệu kích hoạt 

Người giữ mã chia sẻ của BkavCA được yêu cầu bảo vệ an toàn mã chia sẻ của họ. Những 

người này phải ký một thỏa thuận với BkavCA về việc đảm bảo trách nhiệm trong việc 

bảo vệ mã chia sẻ mà họ giữ. 

RA và quản trị hệ thống được yêu cầu phải giữ khóa bí mật ở dạng mã hóa sử dụng mật 

khâu bảo vệ và chọn “high security” cho trình duyệt khi sử dụng. 

Thuê bao của BkavCA được yêu cầu lưu trữ khóa bí mật dưới dạng mã hóa sử dụng USB 


Token và mật khẩu bảo vệ. 
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6.4.3 


Các vấn đề khác của dữ liệu kích hoạt 


6.4.3.1 Truyền, gửi dữ liệu kích hoạt 


Dữ liệu kích hoạt khi được truyền, gửi đi sẽ được bảo vệ chống lại việc mắt, lộ, truy nhập 


không được phép. 


6.4.3.2 Hủy bỏ dữ liệu kích hoạt 


6.5 


6.5.1 


6.5.2 


Sau khi hết hạn sử dụng được quy định trong phần 5.5.2, BkavCA sẽ loại bỏ đữ liệu kích 
hoạt khóa bí mật bằng cách ghi đè và/hoặc hủy bỏ vật lý. 


Kiểm soát an ninh máy tính 


Hệ thống BkavCA được vận hành trên hệ thống đảm bảo an ninh theo các chính sách của 
BkavCA 


Các yêu cầu an ninh hệ thống máy tính 


BkavCA đảm bảo rằng các máy chủ cài đặt hệ thống CA và đữ liệu được bảo vệ trước các 
truy nhập không được phép. BkavCA giới hạn quyền truy nhập tới CA server theo vai trò 
của quản trị. Trên các máy chủ cài đặt hệ thống CA, không có ứng dụng nào khác được cài 
đặt thêm. 

Hệ thống mạng của BkavCA được cách ly với các thành phần khác, bảo vệ khỏi sự truy 
cập bất hợp pháp. Sự cách ly này được thực hiện bằng hệ thống tường lửa đa lớp. Lớp 
tường lửa bên ngoài bảo vệ cả hệ thống khỏi các truy nhập từ ngoài. Lớp tường lửa bên 
trong cách ly các server 

CA ra khỏi hệ thống mạng chung của BkavCA. Các quản trị viên của BkavCA chỉ truy 
nhập và quản trị hệ thống thông qua một số giới hạn các máy tính quản trị được xác định 
sẵn. 

BkavCA yêu cầu sử dụng mật khẩu theo các tiêu chí trong phần 6.4.1, mật khâu được định 
kỳ được thay đôi. 

Việc truy nhập trực tiếp dữ liệu của CA chỉ được giới hạn cho những người có quyền và 
nhiệp vụ phù hợp. 

Đánh giá an ninh của hệ thống máy tính 

Hệ thống máy chủ cung cấp dịch vụ của BkavCA đang hoạt động theo chuẩn ISO 27001, 
và được đánh giá định kỳ 6 tháng một lần. 
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6.6.1 


6.7 


Kiểm soát an ninh quy trình sử dụng 
Giám sát triển khai triển khai hệ thống 


Các ứng dụng được phát triển và triển khai sử dụng trong BkavCA tuân theo các tiêu 
chuẩn thiết kế, phát triển và triển khai phần mềm của BkavCA. BkavCA cũng cung cấp 


phân mêm cho các RA. 


Phần mềm được BkavCA phát triển sẽ được ký số đảm bảo trong quá trình phân phối 
không bị thay đổi nội dung hoặc phiên bản. Chữ ký trên phần mềm sẽ được kiểm tra khi 


phần mềm được cài đặt. 

Giám sát quản lý an ninh 

BkavCA có các thủ tục và biện pháp kiểm soát an ninh trong quá trình thiết lập hệ thống. 
Các thủ tục và biện pháp này tuân theo tiêu chuẩn quản lý an ninh thông tin ISO 27001. 
Giám sát an ninh vòng đời 

BkavCA không quy định cụ thể quy trình giám sát an ninh vòng đời phát triển, triển khai 
và vận hành hệ thống cung cấp dịch vụ của BkavCA. 

Giám sát an ninh hệ thống mạng 


Hệ thống BkavCA thực hiện các chức năng trong vùng mạng đảm bảo an ninh. Mọi thông 


tin nhạy cảm sẽ được mã hóa và ký sô. 


7. Định dạng chứng thư số, danh sách thu hồi chứng thư số 
(CRL), giao thức kiểm tra trạng thái chứng thư số trực tuyến 
(OCSP) 


7.1 Định dạng của chứng thư số 


Chứng thư số do BkavCA ban hành tuân theo chuẩn ITU-T X.509 và các quy định của 
REC 5280. Tối thiểu, chứng thư số do BkavCA ban hành có các trường và giá trị theo 
bảng dưới đây. 





Trường Giá trị/Ý nghĩa 





Serial Number 


Giá trị là duy nhất đối với mỗi chứng thư số do BkavCA ban 











hành 
: h Định danh (OID) của thuật toán được sử dụng để ký lên chứng 
Signature Algorithm : : 
thư sô (xem phân 7. l.3) 
Issuer DN Xem phần 7.1.4 
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Valid From Thời điểm bắt đầu chứng thư số có hiệu lực, theo giờ UTC 
Valid To Thời điểm hết hiệu lực của chứng thư số, theo giờ UTC 
Subject DN Xem phần 7.1.4 

Subject Public key Khóa công khai, được mã hóa phù hợp với REFC 5280 
Signafure Chữ ký của BkavCA, được mã hóa phù hợp với RFC 5280 








7.1.1 Phiên bản 


e_ Chứng thư số do BkavCA ban hành theo X.509 Version 3. 


7.1.2 Trường mở rộng 


e© BkavCA ban hành chứng thư số X.509 phiên bản 3 với phần mở rộng được quy định từ 


7.1.2 đến 7.1.2.8. 
7.1.2.1 Key Usage 


e Chứng thư số X.509 phiên bản 3 được ban hành theo REC 5280. Phần mở rộng KeyUsage 


trong chứng thư số theo bảng sau. 


e_ Chứng thư số do BkavCA ban hành có sử dụng trường KeyUsage 





























Chứng thư số 
cá nhân thuộc | Chứng thư số | Chứng thư số ký 
Bit cơ quan, tổ Web Server mã phần mềm 
chức và cá (SSL) (CodeSigning) 
nhân. 
0 | digitalSignature Có Có Có 
1 | nonRepudiation Có Có Có 
2_ | keyEncipherment Có Có Không 
3| dataEncipherment Không Không Không 
4 | keyAgreement Không Không Không 
5 | keyCertSign Không Không Không 
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6 | CRLSIgn Không Không Không 





7 | encIpherOnly Không Không Không 





$ | decipherOnly Không Không Không 























7.1.2.2  Certificate policies 

e_ Chứng thư số do BkavCA ban hành không có trường mở rộng này. 
7.1.2.3 Subject Alternative Name 

e_ Phần mở rộng subjectAltName của chứng thư số được gán giá trị theo REC 5280. 
7.1.2.4 Basic Constraints 

e_ Phần mở rộng Basic Constraints của chứng thư số được gán giá trị theo REC 5280. 
7.1.2.5 Extended Key Ủsage 


e_ Trường mở rộng ExtendedKeyUsage trong chứng thư số được cấu hình với giá trị thể hiện 


mục đích sử dụng của chứng thư só, chỉ tiết biểu diễn trong bảng dưới đây. 




















Chứng thư số của | Chứng thư số ký số của | Chứng thư số ký phần 
cá nhân Server mềm 
ServerAuth Không Có Không 
ClientAuth Có Có Không 
CodeSIgning Không Không Có 
EmailProtecion | Có Không Không 
TimeStampIng Không Không Không 




















7.1.2.6 CRL Distribution Points 


e Chứng thư số do BkavCA ban hành trường có mở rộng cRLDistributionPoints chứa URL 


VỊ trí mà người nhận có thể lấy được CRL đề kiểm tra trạng thái của chứng thư SỐ. 
7.1.2.7 Authority Key Identifier 


e_ Giá trị của trường này là định danh chứng thư số của BkavCA, giá trị này trùng với trường 
SubJect Key IdentifIer trong chứng thư của BKICA do Root CA ban hành. 


7.1.2.8 Subject Key Identifier 
e_ Giá trị định danh chứng thư số do BkavCA ban hành. 
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Các thuật toán ký 
BkavCA ký lên các chứng thư số, sử dụng một trong các thuật toán sau: 


©6_ sha-IWithRSAEncrypton OBJECT IDENTIFIER ::= {iso(l) member-body(2) 
us(840) rsadsi(1 13549) pkcs(1) pkcs-I(1) 5} 


oø_ sha256withRSAEncrypton OBJECT IDENTIFHIER ::= {iso(I) member-body(2) 
us(840) rsadsi(1 13549) pkcs(1) pkcs-I(1) T1} 


Thủ tục ký chứng thư số áp dụng lược đồ RSASSA-PSS được quy định trong PKCS #I 
phiên bản 2.I 


Phiên bản của BkavCA hỗ trợ sử dụng thuật toán mã hóa SHA-256, SHA-384 và SHA-512 
trong chứng thư số. 


Khuôn dạng tên 


BkavCA ban hành chứng thư số với trường Issuer và Subject Distinguished Name mô tả 
trong phần 3.1.1. Ngoài ra, chứng thư số thường có thêm trường Organiztional Unit. 


Ràng buộc tên 

BkavCA không quy định cụ thể các ràng buộc cho việc đặt tên. 

Định danh chính sách và quy chế chứng thư số 

Chứng thư số do BkavCA ban hành không có trường mở rộng này. 

Sử dụng ràng buộc mở rộng chính sách chứng thư số 

BkavCA không quy định các ràng buộc sử dụng trưởng mở rộng chính sách chứng thư số. 
Cú pháp và ngữ nghĩa của chính sách phân loại 


BkavCA ban hành chứng thư số tuân theo các quy định trong quy chế chứng thực này và 


các thỏa thuận với thuê bao, thỏa thuận với người nhận liên quan. 
Xử lý ngữ nghĩa của các trường mở rộng chính sách chứng thư số 


BkavCA không quy định về xử lý ngữ nghĩa trường mở rộng chính sách chứng thư. 


7.2. Định dạng danh sách thu hồi chứng thư số (CRL) 


CRL do BkavCA công bố tuân theo chuẩn ITU-T X.509 và các quy định của RFC 5280. 
Tối thiểu, CRL do BkavCA công bồ có các trường và giá trị theo bảng dưới đây. 





Trường Giá trị 








Version Xem phần 7.2.I 
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Thuật toán được dùng đề ký CRL. 





Signture l 
: BkavCA sử dụng một trong bôn hàm băm an toàn: SHA-I, SHA-256, 
Algorithm 
SHA-384, SHA-512. 
Issuer Thực thê ký và ban hành CRL — BkavCA. 





Effective Date | Ngày có hiệu lực của CRL. 





Thời gian mà CRL tiếp theo sẽ được công bố. Việc công bố CRL tuân 
Next Update 3 la BƠ h 
theo các yêu câu trong phân 4.4.7 





Revoked Danh sách các chứng thư số bị thu hồi, bao gồm Serial Number của các 


Certificates | chứng thư số bị thu hồi và ngày thu hồi. 














7.2.1 Phiên bản 
e  BkavCA ban hành X.509 Version 2 CRL. 
7.2.2 CRL và các trường mở rộng của CRL 
e_ CRL do BkavCA ban hành không có quy định về các trường mở rộng. 


7.3 Định dạng giao thức kiểm tra trạng thái chứng thư số trực tuyên 
(OCSP) 


e_ OCSP là giao thức cho phép lấy thông tin cập nhật về trạng thái thu hồi của một chứng thư 
số cụ thể. Dịch vụ OCSP (OCSP Responder) tuân theo RFC 2560. 


7.3.1 Phiên bản 
e BkavCA cung cấp dịch vụ OCSP Version 1 theo RFC 2560. 
7.3.2 Phần mở rộng OCSP 
e Không quy định. 
8. Kiêm định tính tuân thủ và các đánh giá khác 
e Việc kiểm toán kỹ thuật các hoạt động BkavCA được thực hiện định kỳ hàng năm hoặc 
theo yêu câu từ RootCA. 


e Ngoài các kiểm toán kỹ thuật trên, BkavCA có thể thực hiện những kiểm toán kỹ thuật 
khác để đảm bảo tính tin cậy của BkavCA. Các kiểm toán kỹ thuật đó có thể được thực 
hiện bởi một đơn vị bên ngoài. 
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8.1 Tần suất và các tình huống kiểm tra kỹ thuật 


e_ Kiểm toán kỹ thuật được thực hiện ít nhất một năm một lần, phí tổn thuộc về phía bị kiếm 


toán. 
8.2 Đơn vị, người thực hiện kiểm tra kỹ thuật 


e_ Người thực hiện kiểm toán kỹ thuật được chỉ định bởi RootCA để thực hiện các cuộc kiểm 
toán kỹ thuật BkavCA. 


e©_ Kiểm toán kỹ thuật được thực hiện bởi những người không phụ thuộc vào BkavCA. 
8.3 Các nội dung kiểm tra kỹ thuật 


e_ Các lĩnh vực được kiêm toán kỹ thuật bao gồm: hạ tầng hệ thống, các quy trình quản lý 
khóa, quy trình vận hàn hệ thống và các nội dung khác theo yêu cầu khác của đơn vị kiểm 


toán kỹ thuật. 
8.4 Xử lý khi phát hiện sai sót 
e© Sau khi có báo cáo kiểm toán kỹ thuật, BkavCA sẽ làm việc với RootCA về những nội 
dung chưa phù hợp. 


e  BkavCA sẽ nghiên cứu và đề ra và thực hiện phương án xử lý những nội dung chưa phù 
hợp trong thời gian thông nhất với RootCA. 


e_ Dịch vụ của BkavCA sẽ bị ngừng trong các tình huống sau: 


o_ Báo cáo kiểm toán kỹ thuật cho thấy có lỗi nghiêm trọng có thể ảnh hưởng ngay lập 


tức tới an an ninh của hệ thống BkavCA. 
o_ BkavCA thực hiện kế hoạch xử lý nhưng không có kết quả. 
8.5 Công bố kết quả kiểm tra kỹ thuật 
e©_ Báo cáo kết quả kiểm toán kỹ thuật được BkavCA công bồ tại https://bkavca.vn/ 
9. Các nội dung nghiệp vụ và pháp lý khác 
9.1 Phí/Giá 
9.1.1 Phí đăng ký mới và gia hạn chứng thư số 


e©_ BkavCA có quyền yêu cầu tiền thù lao từ thuê bao cho việc ban hành, quản lý, và gia hạn 


chứng thư số. Mức phí sẽ tùy thuộc vào hợp đồng với từng thuê bao. 
9.1.2 Phí truy nhập chứng thư số 


e_ BkavCA sẽ không thu phí cho việc truy nhập chứng thư số. 
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9.1.3 Phí truy nhập thông tin trạng thái chứng thư số 
e  BkavCA sẽ không thu phí cho việc công bố CRL và dịch vụ OCSP. 
e_ BkavCA sẽ thu phí cung cấp các dịch vụ tiện ích khác. 


e© BkavCA không cho phép bên thứ ba truy nhập vào thông tin CRL, OCSP hoặc thông tin 
khác của BkavCA với mục đích cung cấp các sản phẩm hay dịch vụ mà không có sự cho 
phép của BkavCA bằng văn bản. 


9.1.4 Phí dịch vụ khác 


e BkavCA không thu phí truy cập vào quy chế chứng thực của mình. BkavCA giữ bản 
quyền với các tài liệu khác do BkavCA công bố. 


9.1.5 Chính sách hoàn phí 


e Thuê bao có thể yêu cầu BkavCA thu hồi chứng thư số và hoàn lại phí trong các trường 
hợp sau: 


o_ Trong vòng 30 từ ngày ban hành chứng thư số 
o_ Nếu BkavCA vi phạm điều khoản trong hợp đồng với thuê bao 


e BkavCA thực hiện việc hoàn phí cho thuê bao theo các điều khoản thỏa thuận với thuê 


bao. 
9.2 Trách nhiệm tài chính 
e_ Bkav duy trì một mức mức bảo hiểm hợp lý cho các lỗi BkavCA. 


e_ Bkav đã thực hiện bảo lãnh thanh toán của một ngân hàng thương mại hoạt động tại Việt 
Nam không dưới 5 (năm) tỷ đồng, để giải quyết các rủi ro và các khoản đền bù có thê xảy 
ra trong quá trình cung cấp dịch vụ và thanh toán chỉ phí tiếp nhận và duy trì cơ sở đữ liệu 
của BkavCA trong trường hợp bị thu hồi giấy phép. 


9.3 Bảo mật thông tin nghiệp vụ 
9.3.1 Phạm vi các thông tin bí mật 
e Những thông tin sau sẽ được coi là thông tin bí mật: 
o_ Các thông tin được yêu cầu bởi pháp luật. 
o_ Hồ sơ đăng ký cấp chứng thư số. 
©o_ Biên bản giao dịch. 
o_ Nhật ký kiểm tra BkavCA. 


o_ Báo cáo kiêm tra BkavCA. 
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o_ Kế hoạch đối phó với sự cố và kế hoạch khôi phục lại sau thảm họa. 


o_ Phương pháp điều khiển hoạt động các thành phần BkavCA: phần cứng, phần mềm và 
quản trị của dịch vụ của BkavCA. 


9.3.2 Những thông tin ngoài phạm vi thông tin bí mật 
e_ Các thông tin không được coi là bí mật: 


o_ Chứng thư số, trạng thái thu hồi của chứng thư số và thông tin trạng thái khác, địa chỉ 
lưu trữ của BkavCA và thông tin trên đó. 


o_ Không được chỉ rõ trong phần 9.3.1 được coi là không bí mật. 
9.3.3 Trách nhiệm bảo vệ các thông tin bí mật 
e©_ BkavCA thực hiện các biện pháp đảm bảo an ninh cho các thông tin bí mật. 
9.4 Bảo mật thông tin cá nhân 
9.4.1 Kế hoạch bảo mật thông tin cá nhân 


e_ Chính sách bảo mật được công bố trên trang Web của BkavCA. Nội dung chính sách bảo 
mật có trong phần phụ lục. 


9.4.2 Phạm vi các thông tin bí mật 


e Mọi thông tin thuê bao không được công bố qua nội dung của chứng thư số, dịch vụ 
Directory và CRL được coi là bí mật. 


9.4.3 Những thông tin ngoài phạm vi thông tin bí mật 
e_ Mọi thông tin được công bố trong một chứng thư số được coi là không bí mật. 
9.4.4 Trách nhiệm bảo vệ các thông tin bí mật 


e©  BkavCA thực hiện các biện pháp đảm bảo an ninh cho các thông tin bí mật của thuê bao, 


tuân theo yêu cầu của luật pháp. 
9.4.5 Thông báo và sự đồng thuận sử dụng thông tin mật 


e_ Thông tin bí mật sẽ không được sử dụng mà không có sự cho phép của người sở hữu thông 
tin hoặc đại điện sở hữu thông tin đó, trừ những trường hợp được quy định trong quy chế 
này hoặc trong các thỏa thuận cụ thê. 


9.4.6 Cung cấp thông tin theo yêu cầu của cơ quan pháp luật 


e_ BkavCA sẽ cung cấp thông tin bí mật nếu có yêu cầu của cơ quan pháp luật có thẩm quyền 
và tuân thủ theo quy định của pháp luật. 
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9.4.7 


Các tình huống cung cấp thông tin khác 


BkavCA không cung cấp thông tin cho các đối tượng nào khác ngoài đại diện có thâm 


quyền của pháp luật. 


9.5 Quyền sở hữu trí tuệ 


9.5.1 
©® 


9.5.4 


Quyền sở hữu những thông tin chứng thư số và thu hồi 
BkavCA giữ mọi quyền sở hữu chứng thư số và thông tin thu hồi mà nó tạo ra. 


BkavCA cho phép sử dụng thông tin thu hồi khi thực hiện chức năng của người nhận. Việc 
sử dụng này tuân thủ theo thỏa thuận sử dụng CRL, thỏa thuận người nhận và những thỏa 


thuận khác nếu có. 

Quyền sở hữu quy chế chứng thực 

BkavCA giữ mọi quyền sở hữu trí tuệ quy chế chứng thực này. 

Quyền sở hữu tên 

Đối tượng đăng ký chứng thư số phải có quyền sở hữu về nhãn hiệu đăng ký, nhãn hiệu 
dịch vụ, hoặc tên tô chức (danh nghiệp) trong đơn xin cấp chứng thư số và tên đặc trưng 
trong chứng thư số. 

Quyền sở hữu khóa 


Cặp khoá tương ứng với chứng thư số của BkavCA, RA, thuê bao được sở hữu bởi chính 
đối tượng là chủ thê của chứng thư số đó. 


9.6 Tuyên bố và cam kết 


9.6.1 


9.6.2 


Tuyên bố và cam kết của BkavCA 

BkavCA đảm bảo rằng: 

o_ Không thay đổi thông tin đăng ký chứng thư số được cung cấp bởi đối tượng đăng ký. 
o_ Không có lỗi trong quá trình duyệt và ban hành chứng thư số. 

o_ Chứng thư số do BkavCA ban hành đáp ứng các yêu cầu trong quy chế này. 


o_ Cung cấp dịch vụ thu hồi và cho phép sử dụng địa chỉ lưu trữ phù hợp với quy chế 
chứng thực này. 


Chịu trách nhiệm về việc quản lý và xác minh các điều kiện hoạt động của RA theo quy 


định của pháp luật. 
Tuyên bố và cam kết của RA 


RA đảm bảo răng: 
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© 


Không thay đồi thông tin đăng ký chứng thư số được cung cấp bởi đối tượng đăng ký. 


Không có lỗi trong quá trình duyệt hồ sơ xin cấp chứng thư số và quá trình gửi thông 
tin cho BkavCA. 


Tuân thủ theo quy trình quản lý vòng đời chứng thư số của BkavCA. 


e_ RA có trách nhiệm ký hợp đồng với Bkav. Trong hợp đồng có quy định: 


© 


© 


© 


Loại chứng thư số mà RA được phép tham gia cung cấp. 
Các bước trong quy trình cấp phát chứng thư số RA được thực hiện. 


Chứng thư số chỉ được cấp sau khi BkavCA đã nhận đầy đủ hồ sơ của thuê bao, và 
thông tin thuê bao được thầm định. 

Cam kết của RA với BkavCA đúng như trong hợp đồng đã ký và theo quy định của 
pháp luật. 

Nhân viên RA trực tiếp tham gia vào quy trình cung cấp chứng thư số phải có hiểu biết 
pháp luật về chữ ký số và dịch vụ chứng thực chữ ký số. 


9.6.3 Tuyên bố và cam kết của thuê bao 


e_ Thuê bao đảm bảo răng: 


© 


© 


Khi ký: sử dụng khóa bí mật tương ứng với khóa công khai trong chứng thư số ; tại 
thời điểm ký, thuê bao chấp nhận chứng thư số và chứng thư số đang có hiệu lực 
(không hết hạn hoặc bị thu hồi). 


Khóa bí mật của mình được bảo vệ và không cho người khác sử dụng. 
Mọi thông tin cung cấp bởi thuê bao là đúng. 


Sử dụng chứng thư số đúng mục đích của chứng thư số, phù hợp với quy định của 
pháp luật và quy chế chứng thực này 


Không sử dụng chứng thư số được cấp thực hiện các chức năng của một CA. 


e_ Thỏa thuận thuê bao có thể bao gồm thêm những điều khoản khác. Nội dung thỏa thuận 


thuê bao được trình bày trong phần phụ lục. 


9.6.4 Tuyên bố và cam kết của người nhận 


e_ Người nhận chịu trách nhiệm về việc tìm hiểu các thông tin trong quy chế chứng thư só, 


trong thỏa thuận người nhận trước khi quyết định tin tưởng chứng thư số do BkavCA ban 
hành. 


e© Người nhận phải chịu trách nhiệm cho những hành động của mình do không thực hiện 


theo các nội dung liên quan được quy định trong thỏa thuận người nhận hoặc quy chế 


chứng thực này. 
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e_ Thỏa thuận thuê bao có thể bao gồm thêm những điều khoản khác. Nội dung thỏa thuận 


thuê bao được trình bày trong phần phụ lục. 
9.6.5 Tuyên bố và cam kết của các đối tượng khác 


e_ Ngoài BkavCA, RA, thuê bao và người nhận; không có tuyên bố và cam kết của đối tượng 
nào khác được BkICA quy định. 


9.7 Từ chối trách nhiệm 
e_ BkavCA không quy định cụ thê về việc từ chối trách nhiệm. 
9.8 Giới hạn trách nhiệm 


e_ Trong phạm vi được cho phép bởi pháp luật, thỏa thuận thuê bao và thỏa thuận người nhận 
sẽ giới hạn khoản tiền đền bù của BkavCA. Trong mọi trường hợp, khoản tiền mà 


BkavCA phải trả cho các đối tượng không vượt quá các ngưỡng theo bảng dưới đây : 














Loại chứng thư số Khoản tiền giới hạn phải trả 
Chứng thư số cá nhân 10.000 USD 
Chứng thư số Web Server 20.000 USD 
Chứng thư số ký phần mềm 20.000 USD 














e_ Khoản tiền phải trả cho thuê bao được quy định trong thỏa thuận thuê bao tương ứng. 

e©_ Khoản tiền phải trả cho người nhận được quy định trong thỏa thuận người nhận tương ứng. 
9.9 Bồi thường thiệt hại 
9.9.1 Bồi thường của thuê bao 


e_ Trong giới hạn được cho phép bởi pháp luật, thuê bao được yêu cầu trả tiền cho BkavCA 
nếu: 
o__ Cung cấp thông tin không đúng khi đăng ký cấp chứng thư số. 
o_ Thuê bao có lỗi trong việc bảo vệ khóa bí mật hoặc thuê bao sử dụng tên thuộc quyền 
sở hữu trí tuệ của người khác. 
e Thỏa thuận thuê bao tương ứng có thêm các điều khoản bồi thường khác. 
9.9.2 Bồi thường của người nhận 


e_ Trong phạm vi cho phép của pháp luật, thỏa thuận người nhận sẽ yêu cầu người nhận trả 
tiền cho BkavCA nếu người nhận không thực hiện kiểm tra trạng thái của mỗi chứng thư 
số để xác định chứng thư số hết hạn hay bị thu hồi, gây ra các ảnh hưởng tới BkavCA 
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9.10 


Thỏa thuận người nhận tương ứng có thêm các điều khoản bồi thường khác. 


Hiệu lực của Quy chế chứng thực 


9.10.1 Thời hạn bắt đầu có hiệu lực 


Quy chế chứng thư số này có hiệu lực khi được công bố trên trang Web của BkavCA. Các 


sự bổ sung cho quy chế chứng thư số này có hiệu lực khi được công bó. 


9.10.2 Thời hạn hết hiệu lực 


Quy chế này được còn hiệu lực đến khi nó được thay thế bằng một phiên bản mới. 


9.10.3 Ảnh hưởng của quy chế chứng thư số hết hiệu lực 


9.12 


9.12.1 


Khi quy chế này hết hiệu lực, các điều khoản của nó vẫn được áp dụng cho các chứng thư 
số được ban hành trong thời hạn của quy chế này cho đến khi chứng thư số hết hạn hoặc bị 
thu hồi. 


Thông báo và trao đồi thông tin giữa các bên tham gia 


Trừ khi được quy định rõ ràng, các thành viên BkavCA sẽ sử dụng các phương pháp liên 


lạc hợp lý, tùy thuộc mức độ nguy cấp về nội dung của thông tin cần liên lạc. 
Bổ sung và sửa đổi 
Thủ tục bổ sung 
Quy chế này được bồ sung, sửa đổi bởi BkavCA PMA. Nội dung sửa đổi được lưu tại 
https:/bkavca.vn/ 
Nội dung sửa đổi sẽ thay thế các nội dung trong các điều khoản tương đương trong phiên 


bản quy chế chứng thực tương ứng và mọi tài liệu liên quan khác. 


9.12.2 Cơ chế và thời hạn thông báo 


Đối với các thay đổi không quan trong như thay đổi URL, thông tin liên hệ, lỗi in ấn... 
BkavCA PMA có quyền thay đổi quy chế mà không cần thông báo về sự thay đổi. 

Đối với các thay đổi theo đề xuất từ các thành viên, BkavCA PMA sẽ xem xét yêu cầu 
thay đổi. Nếu quy chế cần thay đổi, BkavCA PMA sẽ đưa ra thông báo về sự thay đổi này. 
Trong một số trường hợp đặc biệt, liên quan tới an ninh của hệ thống, BkavCA PMA sẽ 


thực hiện sự thay đổi quy chế này lập tức, sau đó sẽ thông báo cho các thành viên. 


9.12.2.1 Kỳ hạn góp ý 


Các thành viên của BkavCA được quyền góp ý cho quy chế chứng thư số trong vòng 15 
ngày từ ngày quy chế được công bó. 


¬% 


9.12.2.2 Cơ chế quản lý góp ý 


e_ BkavCA PMA sẽ xem xét mọi góp ý sửa đổi. BkavCA PMA sẽ thực hiện một trong các 


tình huống sau: 

o_ Không thay đổi gì góp ý ban đầu; hoặc 

o_ Sửa đối những góp ý sửa đổi và công bố lại chúng; hoặc 

o_ Hủy bỏ góp ý sửa đổi. 
9.123 Các tình huống mà định danh quy chế chứng thực phải thay đổi 

e_ Định danh quy chế chứng thực được thay đổi theo yêu cầu của BkavCA PMA. 

9.13 Thủ tục giải quyết tranh chấp 
9.13.1 Tranh chấp giữa BkavCA với RA 


e Tranh chấp giữa BkavCA và các RA sẽ được giải quyết theo các điều khoản được quy 
định trong thỏa thuận giữa BkavCA và RA. 


9.13.2 Tranh chấp giữa BkavCA với người dùng cuối, người nhận 


e_ Thỏa thuận thuê bao và thỏa thuận người nhận sẽ có một điều khoản về giải quyết tranh 


chấp. 
9.14 Hệ thống pháp lý điều chỉnh 
e_ Pháp luật Việt Nam sẽ được sử dụng trong mọi trường hợp, kể cả có liên quan đến các yếu 
tô nước ngoài. 
9.15 Phù hợp với pháp luật hiện hành 


e_ Nếu có quy định trong quy chế này xung đột với quy định của các văn bản pháp luật, lúc 


này quy định của văn bản pháp luật sẽ có hiệu lực. 
9.16 Các điều khoản chung 
9.16.1 Thỏa thuận bao trùm mọi thành viên 
e_ Quy chế chứng thực này là thỏa thuận mà mọi thành viên của BkavCA phải tuân thủ. 
9.162 Sự chuyển nhượng 


e© Không có quy định nào cho phép chuyển nhượng quyên sử dụng chứng thư số. BkavCA 
không quy định các trường hợp chuyền nhượng khác. 


9.16.3 Tính độc lập của các điều khoản 


e_ Nếu như một số điều khoản trong quy chế chứng thực này không hợp pháp các điều khoản 


đó sẽ không có giá trị, nhưng không ảnh hưởng đên hiệu lực của các điêu khoản khác 


>Ắ) 


9.16.4 Sự ép buộc 


e_ Không có sự ép buộc nào đưa đến việc ban hành chứng thư của BkavCA. 


9.16.5_ Trường hợp bất khả kháng 


e Thỏa thuận thuê bao và thỏa thuận người nhận sẽ có điều khoản về trường hợp bất khả 
kháng đề bảo vệ cho BkavCA. 


9.17 Các điều khoản khác 


e Không có các điêu khoản nào khác ngoài các điêu khoản được quy định trong quy chê 


chứng thực này. 
10. Phụ lục 


1. Bảng các thuật ngữ 








STT | Thuật ngữ/ Từ viết tắt Ngữ nghĩa 
Danh sách có thứ tự các chứng thư số, bắt đầu từ 
chứng thư số của Root CA đến chứng thư số của người 
I. | Chuỗi chứng thư số dùng cuối. Chứng thư số của đối tượng đứng trước 


trong danh sách được dùng đề ký lên chứng thư số của 
đối tượng đứng sau trong danh sách. 





CA 


Certificate Authority - Nhà chứng thực chữ ký số, có 
chức năng ban hành gia hạn, thu hồi và quản lý chứng 
thư số. 





Chứng thư số 


Một thông điệp điện tử, chứa thông tin CA, thông tin 
về khóa công khai, thông tin về chủ thể, thông tin về 
hạn sử dụng chứng thư số, thông tin về thuật toán ký 
và chữ ký của CA. 





BkavCA 


Nhà chứng thực chữ ký số do Công ty Cổ phần Bkav 
quản lý, được Bộ Thông Tin và Truyền Thông cấp 
phép hoạt động. 











BkavCA PMA 





Nhóm các cá nhân có nhiệm vụ soạn thảo, bô sung sửa 
đổi và ban hành chính sách chứng thư số, quy chế 
chứng thực và. các chính sách thỏa thuận khác của 
BkavCA. 
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Chính sách bảo mật 


Văn bản quy định về thông tin được coi là bí mật và 
trách nhiệm giữ bí mật thông tin của các đối tượng liên 


quan. 





Chính sách hoàn phí 


Văn bản quy định các điều khoản về hoàn phí cho thuê 
bao của BkavCA, chính sách hoàn phí đi kèm trong 


thỏa thuận thuê bao. 





Chủ thể chứng thư số 


Chủ sở hữu của chứng thư số, chủ thể chứng thư số có 
thể là thuê bao chứng thư số hoặc các thiết bị như máy 
chủ Web. 





CN 


Common Name — một thuột tính trong trường DN của 
chứng thư số, CN biểu diễn tên thường gọi của đối 
tượng là chủ thể của chứng thư số. 





10. 


CRL 


Danh sách chứng thư số thu hồi. 





II. 


DN 


Distinguished Names — một trường trong chứng thư 
số, DN chưa thông tin nhận dạng đối tượng là chủ thê 
chứng thư số. 





12. 


ISO/IEC 15408-3:1999 


Tiêu chuân đánh giá an ninh hệ thông phân mêm. 





1: 


ITU-T X.509 


Tiêu chuân vê chứng thư sô và danh sách thu hôi 


chứng thư số do tô chức viễn thông quốc tế quy định. 





14. 


Khóa bí mật 


Thành phần bí mật của cặp khóa được sử dụng trong 
hạ tầng khóa công khai (PKI - Public Key 


Infrastructure). 





lo, 


Khóa công khai 


Thành phần công khai của cặp khóa được sử dụng 


trong hạn tầng khóa công khai. 





16. 


Người nhận 


Là đối tượng tin tưởng chứng thư số hay một chữ ký 
số được cung cấp bởi CA. 








lVÃ 





RA 





Registraion Authority —- Nhà thâm quyền có chức 
năng giúp đỡ CA duyệt đơn đăng ký chứng thư số, đơn 
gia hạn chứng thư số, đơn thu hồi chứng thư số và 
quản lý thông tin thuê bao. 
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CA có chứng thư số được ký bởi chính khóa bí mật 
của CA. Root CA công cộng của Việt Nam được quản 




















18.| Root CA vã. : : 3 Vu bu VN G, 
lý bởi Trung Tâm Chứng Thực Chữ Ký Sô Quôc Ga — 
Bộ Thông Tin và Truyền Thông. 
Thỏa thuận giữa BkavCA và người nhận, quy định rõ 
19. | Thỏa thuận người nhận các điều khoản về quyền và trách nhiệm của mỗi bên 
trong quản lý thông tin và sử chứng thư số. 
Thỏa thuận giữa BkavCA và RA, quy định rõ các điều 
20. | Thỏa thuận RA khoản về quyền và nghĩa vụ của các bên trong cung 
cấp dịch vụ chứng thực chữ ký số. 
Thỏa thuận giữa BkavCA và thuê bao, quy định các 
21.| Thỏa thuận thuê bao điều khoản về quyền và nghĩa vụ của các bên trong 
ban hành, quản lý và sử dụng chứng thư số. 
22.| Thuê bao Đối tượng đăng ký sử dụng chứng thư số. 
Thiết bị phần cứng được sử dụng để bảo quản và sử 
23. USB token 








dụng cặp khóa trong hạ tầng khóa công khai. 








56 


